❤️🧡💛개인정보보호 법령해석 실무교재」발간❤️🧡💛

❤️🧡💛개인정보보호 법령해석 실무교재」발간 - 소송 참고자료🧡💛❤️

2021-12-10 23:34:53

---

 

공공기관의 개인정보 보호 역량 강화 위한 지침서 나왔다
- 개인정보위, 공공기관 직원용「개인정보보호 법령해석 실무교재」발간 -

《 공공기관 관련 개인정보 법령해석 주요 사례 》
∎(사례1) 공공기관 누리집 등에 직원의 소속, 성명, 내선번호가 공개된 경우 「개인정보 보호법」에 위배되는지요?
⇒ 「공공기관의 정보공개에 관한 법률」에 따라 직무를 수행하는 공무원, 공공기관의 직원, 위촉직의 직무에 관한 정보를 공개할 수 있으며, 민간기관의 경우에도 법인이나 단체에 관한 직무정보로서 임직원 연락정보를 공개하여도 법에 위배되지 않음
∎(사례2) 졸업앨범에 교사의 사진과 연락처를 넣을 때 동의를 받아야 하는지?
⇒ 졸업앨범에 교사의 사진 등을 수록하기 위해서는 정보주체인 교사의 동의를 받아야 함
∎(사례3) 공공기관이 개인정보의 수집·관리 또는 취급 업무를 위탁하는 경우 반드시 위탁계약서를 작성해야 되나요?
⇒ 개인정보처리 업무를 위탁하는 경우 법적 구속력이 있는 계약서 또는 그와 동일한 효력이 있는 문서에 의하여야 함

□ 개인정보보호위원회(위원장 윤종인, 이하 개인정보위) 소속 ‘개인정보 법령해석 지원센터’는 공공기관 직원들의 개인정보 보호법 해석능력 향상을 위해 「사례중심 개인정보보호 법령해석 실무교재」를 발간하였다.
○ 공공기관은 법을 집행하거나 행정서비스를 제공하는 과정에서 다양한 정보주체의 개인정보를 대량으로 수집하고, 때로는 주민등록번호, 건강정보, 생체정보 등 민감정보까지도 처리하므로 담당자에게 개인정보 보호에 대한 높은 수준의 이해와 인식이 요구된다.
□ 개인정보위는 공공기관 업무 담당자들이 개인정보 보호법령을 보다 쉽게 이해할 수 있도록 개인정보 생애주기에 따른 처리단계 중심으로 교재를 구성하였다.
○ 실무에서 많이 쓰이는 개인정보 관련 주요 개념들을 다른 개념들과 비교*함으로써 명확히 이해할 수 있도록 하고, 관련된 주요 사례, 판례 및 위원회 결정례를 제시하여 업무에 참고할 수 있도록 하였다.
* (예) 개인정보･가명정보･익명정보･추가정보･결합정보의 비교, 개인정보처리자･행정관청･행정청의 비교, 처리정지요구권･동의권 철회의 비교
○ 또한, 개인정보 수집·이용 동의서 등 개인정보 관련 서식을 실어 업무에 바로 활용할 수 있도록 하였다.
《 개인정보 생애주기별 처리단계 (교재구성 순서) 》
수집·이용 ⇒ 보유 ⇒ 제공 ⇒ 위·수탁 ⇒ 양도·양수 ⇒ 파기

 

□ 개인정보위는 올해 들어 국민을 대상으로 생활 속에서 쉽게 접할 수 있는 「개인정보 보호법 표준해석 사례」를 발굴·배포(8.3. 조간 참조)한 데 이어 이번 교재 발간을 계기로 정부 부처 및 지자체를 포함한 공공기관이 교재를 활용하여 소속 직원들의 개인정보 보호 역량을 제고하고 개인정보 보호 강화에 앞장설 수 있도록 지원할 계획이다.
○ 이를 위해 243개 지자체에 인쇄 책자를 배포하고 개인정보위 누리집(www. pipc.go.kr), 개인정보보호 포털(www.privacy.go.kr) 등에 게시하여 각 공공기관이 이를 활용할 수 있도록 했다.
□ 박연병 개인정보위 기획조정관은 “올해는 개인정보 보호법이 시행된 지 10년이 되는 해로서 디지털 대전환과 코로나19로 인한 비대면의 일상화로 개인정보 보호의 중요성에 대한 국민의 인식이 높아졌다”라며,
○ “따라서, 공공기관이 앞장서서 국민의 눈높이에 맞게 개인정보를 보호하고 이끌어갈 수 있는 역량을 갖추도록 다방면에서 지원해 나갈 것”이라고 밝혔다.

 

개인정보 및 그와 구별하여야 하는 개념

개인정보
◈ “개인정보”란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는정보를 말함
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
가. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로고려하여야 함)
나. 가목 또는 나목을 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의사용·결합 없이는 특정 개인을 알아볼 수 없는 정보

 

가명정보
◈ “가명정보”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리(가명처리)함으로써원래의 상태로 복원하기 위한 추가정보의 사용·결합 없이는 특정 개인을 알아볼 수없는 정보를 말함

 

익명정보
◈ “익명정보”란 더 이상 특정 개인인 정보주체를 알아볼 수 없도록 개인정보를처리함으로써 다른 정보를 사용하여도 특정 개인을 알아볼 수 없는 정보를 말함(이 경우 시간·비용·기술 등을 합리적으로 고려하여야 함)

 

추가정보
◈ “추가정보”란 개인정보의 전부 또는 일부를 대체하는 데 이용된 수단이나 방식(알고리즘 등), 가명정보와의 비교·대조 등을 통해 삭제 또는 대체된 개인정보를복원할 수 있는 정보(매핑 테이블 정보, 가명처리에 사용된 개인정보 등) 등을말함

 

결합정보
◈ “결합정보”란 합법적으로 접근하여 그 지배력을 확보할 수 있는 두 개 이상의정보를 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보를 말함(이 경우 현재의기술 수준이나 충분히 예견될 수 있는 기술 발전 등을 고려하여 시간이나 비용,노력이 합리적으로 과다하게 수반되지 않아야 함)

 

개인영상정보
◈ “개인영상정보”란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를말함

 

처리, 정보주체, 개인정보처리자

 

◈ “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말함
※ 다만, 다른 개인정보처리자가 처리하고 있거나 처리한 개인정보를 단순히 전달, 전송, 확인또는 통과만 시켜주는 행위는 처리에 해당하지 않음

 

◈ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는사람을 말함. 그러므로 법인이나 단체는 정보주체에 해당하지 않음
※ 다만, 법인 또는 단체에 관한 정보이면서 동시에 개인을 식별할 수 있는 정보(대표자 또는임직원의 이름, 자택주소, 사진 등)나 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호 등 개인사업자정보는 각각의 상황이나 맥락에 따라 개인정보 여부를 결정할 수 있고,개인정보에 해당하는 경우에는 정보주체로 인정할 수 있음

 

◈ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말함
※ 다만, 공공부문의 개인정보처리자는 업무를 목적으로 개인정보파일을 운영하려고 개인정보를처리하는 헌법기관, 중앙

 

행정기관, 지방자치단체 등을 말하므로, 행정에 관한 의사를 결정하여대외적으로 표시할 권한을 가지고 있는 행정관청 또는 행정청과는 구별됨

 

개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는다른 사람을 통하여 개인정보를처리하는 공공기관, 법인, 단체및 개인 등을 말함

 

행정관청 : 국가행정사무에 관하여 국가의의사를 결정하고, 그 의사를국민에 대하여 표시·집행할 수있는 권한을 가진 국가기관을말함(예: 국가기관 행정각부 장관)

 

행정청 : 행정에 관한 의사를 결정하여표시하는 국가 또는 지방자치단체의 기관, 그 밖에 법령 또는자치법규에 따라 행정권한을가지고 있거나 위탁을 받은공공단체나 그 기관 또는 사인을말함

 

1. 개인정보의 개념(제2조 제1항 제1호·제1의2)

“살아 있는” 개인에 관한 정보
╶ 개인정보의 주체는 “살아있는 인간”임. 그러므로 이미 사망하였거나 실종선고 등 관계 법령에따라 사망으로 간주되는 사람에 관한 정보는 「개인정보 보호법」의 보호대상이 되지 않으므로그의 개인정보 또한 보호대상이 되지 않음
※ 다만, 사망자의 정보가 사망자와 유족과의 관계를 나타내는 정보는 사망자의 정보인 동시에 유족의정보에 해당하므로

 

「개인정보 보호법」에 따른 보호대상인 개인정보에 해당함

‘개인에 관한’ 정보╶ 개인정보는 살아 있는 개인에 관한 정보를 말하므로 법인(法人) 또는 단체에 관한 정보는 개인정보에 해당하지 않음. 그렇지만, 법인 또는 단체에 관한 정보이면서 동시에 개인에 관한 정보인대표자를 포함한 임원진과 업무담당자의 이름·주민등록번호·자택주소 및 개인 연락처, 사진 등그 자체가 개인을 식별할 수 있는 정보는 각각의 상황 또는 맥락에 따라 개인정보로 볼 수 있음

 

※ 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호, 매출액, 납세액 등은 사업체의운영과 관련한 정보로서 원칙적으로 개인정보에 해당하지 않음
╶ 사람이 아닌 사물에 관한 정보는 원칙적으로 개인정보에 해당하지 않지만, 해당 사물 등의제조자 또는 소유자 등을 나타내는 정보는 개인정보에 해당함

 

※ 특정 건물이나 아파트의 소유자가 자연인인 경우, 그 건물이나 아파트의 주소가 특정 소유자를알아보는데 이용된다면 개인정보에 해당함
╶ ‘개인에 관한 정보’는 반드시 특정 1인에 관한 정보를 말하는 것은 아니고, 직·간접적으로 2인이상에 관한 정보는 각자의 정보에 해당함

 

※ SNS에 단체 사진을 올린다면 사진의 영상정보는 사진에 있는 인물 모두의 개인정보에 해당함
※ 의사가 특정 아동의 심리치료를 위해 진료 기록을 작성하면서 아동의 부모 행태 등을 포함하였다면그 진료기록은 아동과 부모 모두의 개인정보에 해당함

 

※ 그렇지만, 특정 개인에 관한 정보임을 알아볼 수 없도록 통계적으로 변환된 ‘○○기업 평균연봉’,‘○○대학 졸업생 취업률’등은 개인정보에 해당하지 않음
╶ 개인정보 해당 여부는 구체적 상황에 따라 평가됨. 다른 정보와 결합하여 개인을 식별하거나식별할 수 있다고 인정되면 개인정보로 인정됨. 그렇지만, 다른 정보와 결합가능성이 전혀없어서 개인을 식별하지 않거나 식별할 수 없는 정보의 경우에는 개인정보로 인정할 수 없음

 

판 례
휴대전화번호 뒤 4자리
휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이높으며, 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있다(대전지법논산지원 2013.8.9. 2013고단17 판결).

 

질문
회사에서 순찰자 순찰정보 등을 공개된 장소에 게시해도 되는지?(표준 해석례 9)
방호직에서 근무하고 있는 근무자입니다. 방호직 특성상 근무중 순찰을 실시하는데 관리자가 공개적인 게시판에 순찰보고서라는 항목으로 해당 근무자의 성명, 순찰포인트, 누락여부 등을 기재하여 게시하고 있습니다. 개인정보 보호법 위반이 아닌지?

답변
법인의 정보이면서 개인에 관한 정보의 공개는 위법이라 단정하기 어려움
• “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)

- 따라서, 법인 또는 단체의 이름(상호), 소재지 주소 및 전화번호, 업무별 연락처, 영업실적등 전적으로 법인 또는 단체에 관한 정보는 개인정보에 해당하지 않음

- 반면, 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호, 매출액 등 사업체운영에 관한 정보는 원칙적으로 개인정보에 해당하지 않으나

- 대표자 성명을 비롯한 임원진과 업무 담당자의 이름, 개인 연락처, 사진 등은 법인이나 단체에 관한 정보이면서 동시에 상황에 따라 개인정보로 취급될 수 있음

- 결국, 회사 순찰근무자의 순찰 현황은 법인에 대한 정보이면서 개인정보로 취급될 수도있어 내부 공개가 위법이라고 단정하기 어려우나 공개하는 경우 성명의 일부를 알아볼 수 없도록 처리함이 바람직함

 

성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

╶ “알아볼 수 있는”이란 개인정보처리자는 물론 개인정보를 제공받아 처리하려는 자의 관점에서합리적으로 활용될 가능성이 있는 수단을 고려하여 개인을 알아볼 수 있다면 개인정보에해당함

╶ 사진 등 영상은 물론 주민등록번호 등 고유식별정보는 그 자체만으로 개인을 알아볼 수 있는정보임. 그렇지만, 특정 공간·장소·일시, 특정 다수를 대상으로 하거나 서로 긴밀한 관계를유지하고 있는 단체 등과 같은 경우 성명은 해당 정보주체를 직접 식별할 수 있는 개인정보임

※ 코로나 19 방역과 관련하여 “감염병 예방 및 전파의 차단 및 역학조사”를 위하여 4주간 보유하는‘수기출입자명부’를 작성하면서 성명을 기입하도록 하는 것은 장소 및 방문일시가 특정되어 개인을식별할 수 있으므로 개인정보 보호위원회는 개인정보를 보호하기 위해서 성명대신 가능한 개인안심번호와 시군구만 기재하도록 하거나 발신자 전화번호 출입관리방식을 이용하도록 질병관리청과협력하여 제도개선 한 바 있음

╶ 그렇지만, 공간, 장소, 일시, 사람 등이 특정되어 있지 않아 동명이인(同名異人)이 많은 경우에는다른 정보와 결합하여야 개인을 식별할 수 있는 정보임

 

Question 2
회사건물 출입기록이 개인정보에 해당하는지? (표준해석례 6)
OO빌딩의 관리를 맡고 있는 업체의 직원입니다. OO빌딩 입주사인 A사에서 소속직원들의 건물출입기록 정보의 제공을 요청하여 개인정보라고 제공할 수 없다고 거절하니 법적 근거를 요청한 상태입니다.

답변 : 빌딩의 출입기록은 개인을 알아볼 수 있는 개인정보에 해당함•
개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• 따라서, 고객사 직원의 빌딩 출입기록은 객관적 사실로서 개인을 알아볼 수 있는 개인정보에해당

 

Question 3
교통법규 위반 차량 범칙금 납부 여부가 개인정보인지?(표준 해석례 11)
특정 차량의 교통법규 위반을 신고한 자로부터 해당 사건에 대한 처리결과 정보공개 청구를 받고해당 차량의 소유자에 대해 범칙금 부과 처분을 하였음을 통지하였으나, 추가로 해당 차량의소유자가 범칙금을 납부하였는지 여부에 대한 정보공개 청구를 하여‘범칙금 납부 여부’가 개인정보에 해당하는지 문의합니다.
답변 : 범칙금 납부 여부는 사생활에 관한 정보이며 특정 개인을 알아볼 수 있으므로 개인정보에 해당함
• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• 신고인은 이미 알고 있는 교통법규 위반 차량 소유자의 정보를 통하여 특정 개인을 알아볼 수있으며, 범칙금 납부 여부에 관한 정보는 사생활에 관한 사항으로서 개인정보에 해당함(의결례제2017-03-15호 참조)
해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 ‘쉽게 결합’하여알아볼 수 있는 정보
╶ 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있으면 개인정보에 해당함
╶ ‘입수 가능성’은 두 개 이상의 정보를 결합하기 위해 그 결합에 필요한 다른 정보에 합법적으로접근하여 이에 대한 지배력을 확보할 수 있어야 함

※ 따라서 해킹·절취(切取) 등 불법적인 방법으로 취득한 정보까지 포함한다고 볼 수 없음
╶ 다른 정보와 쉽게 결합할 수 있는지 여부는 입수 가능성 외에 현재의 기술 수준이나 충분히예견될 수 있는 기술 발전 등을 고려하여 시간이나 비용, 노력이 비합리적으로 과다하게 수반되지 않아야 함

※ 일반적으로 사업자가 구매하기 어려울 정도로 고가의 컴퓨터가 필요한 경우라면 ‘쉽게 결합’하기어렵다고 보아야 함

의결례
차량번호자동차는 그 소유자와 밀접하게 연관되어 자동차등록번호만으로 해당 차량의 소유자가 누구인지를 식별할 수 있는 경우가 있고, 특히 차량의 소유자와 일정한 인적 관계를 맺고 있는 경우그러할 가능성이 더욱 높다. 그리고 자동차등록번호만으로 특정 개인을 알아볼 수 없는 경우라하더라도 ｢자동차관리법｣에 따라 자동차는 자동차등록원부에 등록한 후가 아니면 이를 운행할 수 없고(제5조), 자동차등록원부에는 자동차등록번호, 차대번호와 함께 차명, 사용본거지,자동차 소유자 등에 관한 사항을 기재하여야 함을 고려할 때(제7조 제6항) 자동차등록번호는자동차등록원부 등 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보에 해당한다고 판단된다(보호위원회결정 제2019-16-260호)

 

판 례
IMEI / USIM 일련번호
IMEI나 USIM 일련번호는 모두 특정 개인의 소유로 귀속되기 전까지는 기기나 특정 카드에부여된 고유번호로서 그 자체로는 당해 개인을 알아 볼 수 있는 정보라 보기는 어렵다 하더라도,위 각 번호정보를 가지는 휴대폰이 어느 개인의 소유로 귀속되는 순간부터 위 각 번호는 ‘기기나특정카드에 부여된 고유번호’라는 의미 이외에 ‘특정 개인 누가 소유하는 휴대폰의 기기 번호및 USIM카드의 일련번호’라는 의미를 함께 지니게 된다할 것이고, 이 각 IMEI나 USIM 일련번호는 휴대폰 가입신청서 등 가입자정보에 나타난 다른 정보와 어려움 없이 쉽게 결합됨으로서개인을 특정할 수 있게 되는 이상 이들을 개인정보라 봄이 상당하다(서울중앙지방법원 2011.2. 23. 선고 2010고단5343).

 

판 례
이메일주소
이메일 주소는 당해 정보만으로는 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경우 당해 개인을 알아볼 수 있는 정보라 할 것이므로 「정보통신망 이용촉진 및 정보보호등에 관한 법률」 제2조 제1항 제6호에서 정한 ‘개인정보’에 해당한다(서울중앙지방법원2007. 2. 8. 선고 2006가합33062,53332 판결).10∣판 례아이디와 비밀번호아이디와 비밀번호 등 식별부호는 실제 공간과는 달리 익명성이 통용되어 행위자가 누구인지명확하게 확인하기 어려운 가상공간에서 그 행위자의 인격을 표상한다고 할 것이므로, 개인에관한 정보로서 당해 개인을 알아볼 수 있는 정보, 즉 정보통신망법 제2조 제1항 제6호에서 정한개인정보에 해당한다(서울중앙지법 2007.1.26.선고 2006나12182 판결).

 

Question 4
자동차등록번호 및 차대번호가 개인정보인지? (표준 해석례 1)
행정기관 민원 담당자입니다. 관내에 신고된 어린이 통학버스의 자동차등록번호 일체 또는 차대번호 일체를 공개해 달라고 정보공개 청구가 들어왔습니다. 이 2가지 사항이 개인정보에 해당하는지알고 싶습니다.
답변 : 자동차등록번호 및 차대번호는 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수있는 개인정보로 볼 수 있음
• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• 자동차등록번호는 자동차등록원부 등 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는정보에 해당한다고 판단됨(의결례 제2019-16-260호 참조)

 

Question 5

아파트 공식 카페에 동·호수와 실명을 아이디로 사용해도 되는지?(표준 해석례 2)
아파트 관리사무소에서 운영하는 공식 온라인 커뮤니티에서 회원가입시 동호수와 실명을 아이디로사용하도록 하고 있습니다. 개인정보 보호법 위반인지 문의드립니다.
답변 : 입주자 대표회의 의결에 따라 또는 관리규약에서 정한 경우 동·호수와 실명을아이디로 쓸 수 있으나 개인정보의 안전한 관리 유의 필요• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
- 아파트 동·호수는 입주자들의 성명과 쉽게 결합하여 특정 개인을 알아볼 수 있는 개인정보이므로 동·호수를 아이디로 쓰는 경우 예기치 않게 과도한 개인정보가 노출될 우려가 있음
- 따라서, 홈페이지 운영자는 「개인정보 보호법」제30조 및 「표준 개인정보 보호지침」제19조에따라 개인정보 처리방침을 정하여 가입단계에서 충분히 알리고 정보주체의 동의를 받아야하며, 개인정보 보호법 제29조에 따른 안전조치의무를 다하여 개인정보가 안전하게 관리되도록 하여야 함
- 참고로, 아파트 관리사무소(관리주체)는「공동주택관리법」 제63조 제1항에 따른 관리규약으로 정한 사항의 집행, 입주자표회의에서 의결한 사항의 집행, 그 밖에 국토교통부령으로 정하는사항 등의 업무를 수행하여야 하므로 입주자대표회의 의결 또는 관리규약을 통해 아파트홈페이지에 동·호수와 실명을 아이디로 사용하도록 정한 경우 이를 집행할 수 있음

 

Question 6
결제대행사에 제공하는 ID와 결제상품정보가 개인정보인지?(표준 해석례 3)
당사는 고객이 상품을 구매 시 결제대행사에 고객 ID와 결제상품정보를 제공하고 있으며, 결제대행사로부터 결제처리결과만 통보받고 있습니다. 이때 고객ID와 결제상품 정보가 개인정보인가요?? 특정 개인을 알아볼 수 있는 고객 ID와 결제상품정보는 개인정보에 해당할 수 있음
• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• 고객 ID와 결제상품정보는 특정 개인의 구매내역 등을 알아볼 수 있는 정보이므로 개인정보에해당함

 

Question 7
개인의 치아 엑스레이 사진이 개인정보에 해당하는지?(표준 해석례 4)
개인의 치아 엑스레이 사진이 개인정보인지 궁금합니다. 그리고, 관련 법규를 참고할 만한 곳이 있다면 부탁드립니다.? 치아 엑스레이 사진에 다른 정보와 결합되어 개인을 식별할 수 있는 데이터는 개인정보로 볼 수 있음
• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• 일반적으로 정보주체를 알아볼 수 없는 치아 엑스레이 사진은 법에서 보호대상으로 하는개인정보로 보기 어려우나, 진료기록 등 해당 정보에 대한 설명 데이터가 있는 치아 엑스레이사진은 개인정보에 해당됨

 

Question 8 지하철 이용 정보가 개인정보에 해당하는지? (표준 해석례 5)
○○지하철 공사 개인정보 담당자입니다. 탑승객의 승하차역, 이용일 및 이용시각이 개인정보인지요?
답변 : 식별가능한 특정 개인의 지하철 승하차역, 이용일, 이용시각 등 관련 정보는 개인정보에 해당• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• 따라서, 탑승객을 알아볼 수 있는 상태에서 그 이용 정보는 개인정보로 볼 수 있으나, 개인을 알아볼 수 없는 상태의 승하차역, 이용일, 이용시각 등의 정보 자체로는 개인정보에 해당하지 않음.
※ 홍길동이 2021년 7월 1일 08시 30분 충무로역에서 전철을 갈아탐(개인정보). 2021년 7월1일 08시 30분 충무로역의 환승인원은 약 500여명임(개인정보 아님)
- 한편, 특정 개인이 특정한 시간 및 장소에 존재하였다는 정보는 「위치정보의 보호 및 이용등에 관한 법률」의 개인위치정보에 해당하므로, 같은 법 제15조 등의 보호규정이 「개인정보보호법」에 우선하여 적용됨

 

Question 9
코로나 19 확진자의 개인정보를 어느 정도까지 공개해도 되는지?(표준 해석례 8)
감염병 확진자 관련하여, OO시 #9번 확진자 OO센터 OO부장 등 직함이나 소속기관을 포함한정보를 공개하는 경우, 개인정보에 해당하는지, 공개가능한지 알고 싶습니다.
답변 : 행정구역, 소속기관·직함 등의 정보는 다른 정보와 결합하여 특정 개인을 알아볼 수있으므로 공개해서는 안 됨
• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• 일반적으로 행정구역, 소속기관명은 개인정보에 해당하지 않으나, ‘#4번 확진자, 직책 또는직함’에 해당하는 정보와 결합하면 개인을 알아볼 수 있는 개인정보에 해당할 수 있음
• 확진자에 대한 동선은 감염병 예방법에 따라 공개할 수 있으나, 이 경우에도 관련 규정 및지침에 따른 최소한의 범위로 공개 가능
- 「확진환자의 이동경로 등 정보공개 지침 1판」(중앙방역대책본부 2020.10.07.)에 따라성별, 연령, 국적, 거주지, 직장명 등 개인을 특정하는 정보를 공개하지 않음을 원칙으로하고(단, 직장명은 직장에서 불특정 다수에게 전파시켰을 우려가 있는 경우 공개할 수 있음),
① 개인별 이동경로 형태가 아니라 공개 범위에 해당하는 모든 장소를 목록 형태로 공개
② 해당 공간 내 모든 접촉자가 파악된 경우 장소를 공개하지 않음않음

 

Question 10
주민등록번호 연계정보(CI)가 개인정보에 해당하는지?(표준 해석례 12)
｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣ 제23조의3에 따라 지정된 본인확인기관이주민등록번호를 변환한 연계정보(이하 ‘CI’)가 개인정보에 해당하는지 여부를 알고 싶습니다.
답변 : CI(Connecting Information)는 다른 정보와 결합하여 특정인을 식별하므로개인정보에 해당함
• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• CI는 본인확인기관이 주민등록번호를 단방향 암호화한 정보로서 복원이 불가능하고 그자체로는 특정 개인을 알아볼 수 없으나 특정 개인에 고유하게 생성 및 귀속되어 유일성을 가지며 정보통신서비스 제공자의 온·오프라인 서비스 연계를 위해 활용되므로 다른 정보와쉽게 결합하여 특정 개인을 알아볼 수 있으므로 개인정보에 해당함

가명정보
╶ 개인정보에는 가명처리를 하여 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 가명정보도 해당됨
※ 가명정보는 개인정보에 해당한다는 점에서 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를사용하여도 더 이상 개인을 알아볼 수 없는 “익명정보”와는 구별함
※ 가명정보와 결합정보는 모두 해당 정보만으로는 특정 개인을 알아볼 수 없지만, “가명정보”는추가정보의 사용·결합을 통해 특정 개인을 알아볼 수 있는 정보라는 점에서 다른 정보와 쉽게결합하여 특정 개인을 알아볼 수 있는 결합정보와 구분됨
╶ “다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”에서의 ‘다른 정보’와 ‘추가정보’는 해당정보와 결합하여 특정 개인을 알아볼 수 있도록 하는 정보에 해당함
※ ‘다른 정보’는 해당 정보와 결합하여 특정 개인을 알아볼 수 있도록 하는 정보라면 처리하는 자가보유하고 있거나 합법적으로 접근·입수할 수 있는 정보 모두가 다른 정보가 될 수 있음. 그렇지만, ‘추가정보’는 가명처리 과정에서 생성·사용된 정보로 제한되고, 해당 정보를 가명처리 전 정보로 복원할 수 있는 정보라는 점에서 특정 개인을 식별 가능하게 하는 다른 정보와 구분됨
╶ 가명처리된 정보는 해당 정보만으로는 특정 개인을 알아볼 수 없어야 하므로 단순히 개인정보의일부를 삭제하거나 일부 또는 전부를 대체하는 등 기술적 처리를 한 것만으로는 가명처리가완료되었다고 볼 수 없고, 처리 결과 해당 정보만으로는 특정 개인을 알아볼 수 없어야 제대로 된가명처리가 이루어졌다고 볼 수 있음
※ 성명이나 주민등록번호, 주소 중 일부를 삭제하고 휴대전화번호와 전자우편주소는 다른 정보로대체하였으나, 해당 정보를 통해 특정 개인을 알아볼 수 있다면 가명처리가 제대로 이루어졌다고볼 수 없음

익명정보
╶ ‘익명정보’란 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상개인을 알아볼 수 없는 정보를 말함
╶ 익명정보가 되기 위해서는 개인정보처리자 또는 제3자가 ‘합리적으로 예상하는 모든 수단’을동원해도 더 이상 자연인의 식별에 사용될 수 없도록 처리된 정보여야 하며, 모든 예상되는합리적인 수단을 사용해도 정보주체가 식별되지 않아야 함
※ “제3자”란 해당 정보주체와 그 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를제외한 모든 자를 말함 개인영상정보
╶ 영상정보처리기기에 의하여 촬영·처리되는 영상정보 가운데 개인의 초상, 행동 등과 관련된영상으로서 해당 개인을 식별할 수 있는 “개인영상정보”는 개인정보에 해당함. 따라서 CCTV및 네트워크 카메라 이외의 카메라, 휴대전화, 블랙박스 등 영상정보처리기기에 의하여 촬영·처리되는 개인의 초상, 행동 등과 관련된 영상으로 해당 개인을 식별할 수 있는 영상정보는“개인영상정보”에 해당하지는 않지만, 개인정보로서 보호됨
※ 다만, 「개인정보 보호법」은 개인영상정보에 대한 특별한 규정을 두고 있지 않지만, 「(개인정보 보호위원회) 표준 개인정보 보호지침」(이하 “표준지침”이라 한다)은 개인영상정보에 대하여 다음과 같은 보호를 하고 있음

표준지침에 따른 개인영상정보의 보호
• 개인영상정보 관리책임자의 지정 및 업무의 수행(제37조)
• 개인영상정보 이용·제3자 제공 등 제한 등(제40조)
• 개인영상정보의 보관 및 파기(제41조)
• 개인영상정보 이용·제3자 제공·파기의 기록 및 관리(제42조)
• 영상정보처리기기 설치·운영사무수탁자에 대한 안전한 개인영상정보의 처리의 관리·감독(제43조)
• 개인영상정보주체의 열람 등 요구(제44조)
• 개인영상정보 관리대장의 기록·관리(제45조)
• 정보주체 이외의 자의 개인영상정보 보호(제46조)
• 개인영상정보의 안전성 확보를 위한 조치(제47조)
• 개인영상정보처리기기의 설치·운영에 대한 점검(제48조)

Question 11 CCTV 실시간 모니터 영상정보가 개인정보에 해당하는지?(표준 해석례 10)
CCTV에 찍힌 영상이 실시간으로 출력되고 있는 모니터링 화면의 영상은 개인정보에 해당합니까?해당하지 않습니까?
답변 : 영상정보에 나타난 정보주체의 외관을 알아볼 수 있으면 개인정보에 해당함
• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• CCTV에 촬영된 사람의 외관, 자동차등록번호 등이 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있으면 개인정보에 해당합니다. 물론 얼굴 등 정보주체를 직접 알아볼 수 있는 경우 그자체로 개인정보에 해당함

2. 처리의 개념(제2조 제2항 제2호)
╶ ‘처리’에는 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정,복구, 이용, 제공, 공개, 파기는 물론 개인정보의 전송, 확인, 전달, 이전, 열람, 조회, 수정, 보완,삭제, 공유, 보전, 파쇄 등 ‘유사한 행위’도 포함됨. 다만, 다른 개인정보처리자가 처리하고 있거나처리한 개인정보를 단순히 전달, 전송, 확인 또는 통과만 시켜주는 행위는 처리에 해당하지 않음
※ 우편배달사업자나 인터넷서비스제공자는 다른 사람의 개인정보를 확인할 수는 없고, 단순히 전달또는 전송하는 업무만 담당하게 되는데 이 때 우편배달사업자 등의 전달 또는 전송행위는 개인정보의 처리로 보지 않음
※ 또한, 안내데스크에서 방문증을 교환할 때, 방문자의 신원을 단순히 확인하거나 신분증을 보관하는업무 행위도 개인정보의 처리로 볼 수 없음

 

3. 정보주체의 개념(제2조 제3호)
◈ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
╶ 「개인정보 보호법」에 따른 권리의 보유 및 행사 주체인 정보주체가 되기 위해서는
첫째, 처리되는 정보에 의하여 알아볼 수 있는 사람이어야 하고,
둘째, 법인이나 단체가 아닌 살아있는 사람이어야 하며,
셋째, 처리되는 정보의 주체가 되는 사람이어야 함
╶ 살아 있는 사람이면 모두 정보주체가 되므로 국민, 외국인, 소비자, 근로자, 학생, 교사, 군인,공무원, 환자, 피의자, 수형자, 행정조치 대상자 등 살아 있는 사람이면 그 국적이나 신분에 관계없이 누구든지 평등하게 「개인정보 보호법」의 보호를 받는 정보주체가 됨

4. 개인정보파일의 개념(제2조 제4호)
◈ “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말함
╶ 개인정보파일은 개인의 이름이나 고유식별정보, ID 등을 색인(index)이나 검색값으로 하여쉽게 검색할 수 있도록 체계적으로 배열·구성한 집합물임. 일반적으로 전자적 형태로 구성된데이터베이스(database; DB)를 말하지만, 그 밖에 체계적인 검색·열람을 위한 색인이 되어있는 수기(手記) 문서 자료 등도 포함됨
※ 기업에서 고객의 성명, ID 등으로 검색·활용이 가능하도록 구성된 고객정보 데이터베이스, 병원에서 환자에 대해 작성된 진료기록부 파일, 공공기관에서 관리하는 각종 행정처분 내역 파일 등이개인정보파일에 해당함
※ 개인정보가 기재되어 있는 문서의 단순한 집합물에 불과하고, 체계적으로 배열·검색할 수 있도록구성되어 있지 않은 경우는 개인정보파일에 해당하지 않음

 

의결례
블랙박스로 촬영된 영상정보의 개인정보파일 해당 여부
‘개인정보 파일’이란 개인정보를 쉽게 검색할 수 있도록 규칙에 따라 체계적으로 배열하거나 구성한개인정보의 집합물을 말하는데(「개인정보 보호법」제2조 제3호 참조), 블랙박스로 촬영된 영상정보는 촬영일시 등에 따라 체계적으로 배열하여 저장되므로 개인정보파일에 해당한다 할 것이다(의결례 제2017-13-100호).

5. 개인정보처리자의 개념(제2조 제5호)

◈ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말함
╶ 개인정보처리자는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을통하여 개인정보를 처리하는 공공기관은 물론 영리·비영리 사업자, 기관, 단체, 그리고 개인을포함함
※ 개인적 친분관계를 위하여 휴대폰에 연락처 정보, 이메일 주소록 등을 저장하는 경우는 업무를목적으로 하는 것이 아니므로 개인정보처리자에 해당하지 않음

“업무를 목적”으로 한다.
╶ “업무”란 직업상 또는 사회생활상의 지위에 기초하여 계속적으로 종사하는 사무나 사업의일체를 의미하는 것으로 보수 유무나 영리 여부와는 관계가 없으며, 단 1회의 행위라도 계속·반복의 의사가 있다면 업무로 볼 수 있음
※ 지인들에게 모임을 안내하기 위해 전화번호 및 이메일주소를 수집하는 행위나 결혼을 알리기 위해청첩장을 돌리는 행위 또는 개인이 자신의 송사(訟事)에 관한 증거 수집을 위하여 사진 촬영을 하는경우 등은 직업상 또는 사회생활상 지위에 기초하여야 하는 업무를 목적으로 한 것이 아님

 

판 례
“업무”의 개념
업무란 직업 또는 사회생활상의 지위에 기하여 계속적으로 종사하는 사무나 사업의 일체를의미하고, 그 업무가 주된 것이든 부수적인 것이든 가리지 아니하며, 일회적인 사무라 하더라도그 자체가 어느 정도 계속하여 행해지는 것이거나 혹은 그것이 직업 또는 사회생활상의 지위에서계속적으로 행하여 온 본래의 업무수행과 밀접불가분의 관계에서 이루어진 경우에도 이에해당한다(대법원 2005. 4. 15. 선고 2004도8701 판결 등 참조).

“개인정보파일을 운용”하기 위한 것이어야 한다.
╶ 개인정보처리자가 되기 위해서는 업무를 목적으로 개인정보파일을 그 목적에 맞게 적절하게사용하려고 개인정보를 처리하는 자이어야 함
※ 일회성 메모나 문서 작성행위는 개인정보 처리에 해당하지 않고, 단순히 개인정보를 수집·이용·제공하고 있는 모든 자가 개인정보처리자가 되는 것은 아님
╶ 「개인정보 보호법」은 개인정보 수집·이용·제공 등에 대한 동의, 개인정보에 대한 보호조치 등의의무를 부과하는 대상은 개인정보파일을 운용하는 자로 한정하여 규제의 합목적성과 실효성을담보하고 있음“

스스로 또는 다른 사람을 통하여 개인정보를 처리”하여야 한다.
╶ 개인정보처리자는 직접 개인정보를 처리하거나 수탁자, 대리인, 이행보조자 등을 통해서 개인정보를 수집, 이용, 제공, 가공, 전송, 편집 등을 하는 경우에도 개인정보처리자에 해당함

“공공기관, 법인, 단체, 개인 등”이어야 한다.
╶ 개인정보처리자는 공공기관, 영리·비영리 법인이나 단체, 개인 등 공공부문 및 민간부문이 모두 포함됨
※ 주식회사와 같은 영리기업은 물론 동창회·동호회와 같은 비영리단체도 포함됨
╶ 개인에는 1인 사업자, 개인활동가 등 본인의 업무를 목적으로 개인정보를 처리하는 경우가 포함됨
※ ‘개인’은 ‘본인의 업무를 목적으로 개인정보를 처리하는 자’이므로‘공공기관, 영리·비영리 법인이나단체, 개인’의 ‘대리인, 사용인, 그 밖의 종업원으로서의 지위에 있는 개인’은 개인정보처리자에해당하지 않음
╶ “개인정보처리자”는 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는데반하여, “개인정보취급자”는 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를담당하는 자를 말함
※ 개인정보취급자에는 해당 공공기관 등에서 개인정보 처리업무를 담당하는 모든 자가 해당하고,임직원, 파견근로자, 시간제근로자 등을 포함함

 

판 례
개인정보처리자의 개념
개인정보 보호법은 제28조에서 개인정보처리자의 ‘개인정보취급자에 대한 감독’에 관하여 규정하면서 “개인정보취급자”를 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(제28조 제1항 참조)라고 개념 정의하고 있다. 위 인정사실과 개인정보보호법상 개인정보처리자, 개인정보취급자에 관한 개념 정의 및 관계 규정을 종합하여 보면, 이 사건에서 개인정보처리자는 인천○○공단이고, 청구인은 인천○○공단의 감사팀 소속직원으로서 개인정보취급자에 불과한 것으로 보인다. 따라서 청구인은 ‘개인정보처리자’에해당하지 아니하여 이 사건 근거조항이 적용되지 아니한다(헌법재판소 2018. 4. 26. 선고2017헌마711).

6. 공공기관의 범위(제2조 제6호)

◈ “공공기관”이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

※ 대통령령으로 정하는 기관
1. 「국가인권위원회법」 제3조에 따른 국가인권위원회
1의2. 「고위공직자범죄수사처 설치 및 운영에 관한 법률」 제3조 제1항에 따른 고위공직자범죄수사처2. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
3. 「지방공기업법」에 따른 지방공사와 지방공단
4. 특별법에 따라 설립된 특수법인
5. 「초·중등교육법」, 「고등교육법」, 그 밖의 다른 법률에 따라 설치된 각급 학교

「개인정보 보호법」은 개인정보 보호에 관한 일반법으로 공공부문과 민간부문을 구분하지 않고 하나의 법률에 의하여 같은 개인정보보호 원칙을 적용하는 ‘단일법주의’를 채택하고 있음. 그러나, 국가와 국민 사이의 관계에 따른 개인정보 처리의 특수성으로 인해, 개인정보처리자인 공공기관에 대해서는 다음과 같이 개인정보 처리에 관해 그 의무가 강화 또는 완화된 규정을 두고 있음

[공공기관에 대하여 달리 정한 규정]
의무가 강화된 조항
• 개인정보 목적 외 이용·제공의 법적근거,목적및 범위 등 공개의무(제18조 제4항)
• 영상정보처리기기 설치·운영시 공청회·설명회등 의견수렴 의무(제25조 제3항)
• 영상정보처리기기 설치·운영에 관한 업무위탁절차·요건 강화(제25조 제8항)
• 개인정보파일 등록·공개 의무(제32조)
• 개인정보 영향평가 실시의무(제33조)
• 개인정보열람 요구권 행사 편의를 위한 별도의 단일창구 마련(제35조 제1항)
• 개인정보 분쟁조정에 응할 의무(제43조 제3항)

의무가 완화된 조항
• 정보주체 동의 없는 개인정보 수집·이용사유확대 (제15조 제1항 제3호)
• 개인정보 목적 외 이용·제공 사유의 확대(제18조 제2항 단서)
• 개인정보처리방침 제정·공개 의무 완화(제30조제1항)
• 개인정보 열람요구권 제한·거절 사유 확대(제35조 제4항 제3호)
• 개인정보처리 정지요구 대상 개인정보의 범위제한(제37조 제1항 단서)•
개인정보처리 정지 요구권 거절 사유 확대(제37조 제2항 제3호)
• 통계법에 따라 처리된 개인정보에 대한 법률적용의 일부 제외(제58조 제1항 제1호)

 

7. 과학적 연구의 개념(제2조 제8호)
◈ “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자연구 등 과학적 방법을적용하는 연구를 말함
◈ “과학적 방법”이란 체계적이고 객관적인 방법으로 검증 가능한 질문에 대해 연구하는 것을말함.

“과학적 연구”는 과학적 방법을 적용하는 연구를 말하며 자연과학, 사회과학, 의료 등 다양한분야에서 이루어질 수 있음. 과학적 연구는 기술의 개발과 실증, 기초연구, 응용 연구뿐 더러 새로운 기술·제품·서비스 개발 등 산업적 목적을 위해서도 수행이 가능하며, 민간투자연구도 가능함
※ 개인정보 보호위원회의「가명정보 처리 가이드라인」은 개인정보의 가명처리 시 가명정보의 처리목적을 명확히 하도록 안내하고 있음. 단순히 ‘신제품 개발을 위한 과학적 연구 수행’으로 목적을정할 경우, 이것은 그 가명처리 목적이 구체적으로 명시되지 않아 적절하지 않음. 그 목적을 ‘△△제품의 성능 개선을 위해 개인별 ○○○특성에 대한 설문조사를 토대로 개인별 특성과 성능 요인의연관성에 대한 과학적 연구 수행’으로 구체적으로 제시하여야 「개인정보 보호법」이 요구하는“과학적 연구”에 해당함2)※ 예를 들면,
① 코로나19 위험 경고를 위해 생활패턴과 코로나19 감염률의 상관관계에 대한 가설을 세우고, 건강관리용 모바일앱을 통해 수집한 생활습관, 위치정보, 감염증상, 성별, 나이, 감염원 등을 가명처리하고, 감염자의 데이터와 비교·분석하여 가설을 검증하는 경우
② 연령, 성별에 따른 체중관리 운동 시뮬레이션 프로그램 또는 운동관리 애플리케이션을 개발하기위하여 웨어러블 기기를 이용하여 수집한 맥박, 운동량, 평균 수면시간 등에 관한 정보와 이미보유한 성별, 연령, 체중을 가명처리하여 활용하는 경우
╶ 「개인정보 보호법」은 정보주체의 동의 없이 가명정보를 처리하거나 가명정보를 결합할 수 있는목적으로 과학적 연구 외에 통계작성, 공익적 기록보존을 제시하고 있음
╶ “통계작성”이란 개인정보처리자가 특정 집단이나 대상 등에 관하여 작성하는 수량적인 정보를작성하는 것을 말하고, 통계작성의 목적은 시장조사와 같은 상업적 목적은 물론 비상업적목적도 포함됨
※ 다만, 통계는 집합적인 데이터로 이름, 연락처 등 특정 개인에 관한 정보가 포함되어 있지 않아통계의 대상이 된 정보주체에 대해서는 1:1 맞춤형 타겟 마케팅이 불가능함
※ 예를 들면,
① 회사가 도로구조 개선 및 휴게공간 추가설치 등 고객서비스 개선을 위하여 월별 시간대별 차량평균속도, 상습 정체구간, 사고구간 및 원인 등에 대한 통계를 작성하는 경우
② 백화점, 마트 등 유통경로별 상품판매 전략을 수립하기 위하여 판매 상품을 구입

 

Question 12 직급별 전체 직원의 급여 총액이 개인정보에 해당하는지?(표준 해석례 7)
A기업 인사노무관리담당자입니다. 회사 노동조합에서 조합원 및 비노조원의 임금 및 근로조건에대하여 특정인을 유추할 수 없는 직급별 전체 직원의 연봉액 등을 알려달라고 하는데 이게 개인정보에 해당하는지요?
답변 : 자연인이 아닌 법인이나 단체에 관한 정보, 개인이 특정되지 않은 통계자료는 개인정보에 해당되지 않을 수 있음• 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와쉽게 결합하여 알아볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)
• 노조에서 요구하는 특정직급 전체 인원의 급여총액은 자연인이 아닌 법인이나 단체에 관한정보 내지는 자연인으로서의 개인이 특정되지 않은 통계정보로서 개인정보에 해당하지 않음
- 단, 특정 직급의 전체 인원이 극소수여서 특정 개인의 급여를 쉽게 알 수 있다면 개인정보에해당

╶ “공익적 기록보존”이란 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 기록을 보존하는것을 말함. 공공기관이 처리하는 경우에만 공익적 목적이 인정되는 것은 아니며, 민간기업,단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록보존 목적이 인정됨
※ 예를 들면, 연구소가 현대사 연구 과정에서 수집한 정보 중에서 사료가치가 있는 생존 인물에 관한정보를 기록·보관하고자 하는 경우 등

8. 민감정보의 개념(제23조 제1항)

◈ “민감정보”란 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로정하는 정보를 말함

◈ 법 제23조 제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느하나에 해당하는 정보를 말함
1. 유전자검사 등의 결과로 얻어진 유전정보
2. 「형의 실효 등에 관한 법률」 제2조 제5호에 따른 범죄경력자료에 해당하는 정보
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
4. 인종이나 민족에 관한 정보

사상·신념에 관한 정보
╶ “사상·신념에 관한 정보”란 개인의 가치관에 기초로 하여 형성된 사유체계, 개인이 굳게 믿고지키고자 하는 믿음·생각 등을 말하는 것으로 각종 이데올로기 또는 사상적 경향, 종교적 신념등에 관한 정보를 말함
정치적 견해에 관한 정보
╶ “정치적 견해에 관한 정보”란 정치적 사안에 대한 입장이나 특정 정당의 지지 여부에 관한정보를 말함

노동조합·정당의 가입·탈퇴에 관한 정보
╶ “노동조합·정당의 가입·탈퇴에 관한 정보”란 노동조합 또는 정당에의 가입·탈퇴에 관한 정보를 말하고, 반드시 적법한 노동조합이거나 정당일 필요는 없음.
╶ 노동조합 또는 정당에의 가입 및 탈퇴에 관한 직접적인 정보 이외에 노동조합비 또는 정당 회비납입내역 등 그 가입 여부를 확인할 수 있는 정보도 포함하는 것으로 봄

건강, 성생활 등에 관한 정보╶
“건강 및 성생활 등에 관한 정보”란 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애(장애등급 유무 등), 성적 취향 등에 관한 정보를 말함※ 혈액형은 건강정보에 해당하지 않음

의결례
건강, 성생활 등에 관한 정보
• 발달장애인 성명, 주소(의결례 제2019-18-293호)
• 중증장애인의 성명, 주소, 전화번호(의결례 제2019-13-211호)
• 노인장기요양 등급을 받은 사람(치매질환자)의 성명, 등급, 등급판정일, 유효기간 기산일 및
만료일(의결례 제2019-21-334호)
• 2-3년간 건강보험 요양급여내역(헌법재판소 2018. 8. 30. 선고 2014헌마368결정)
• 성매매 피해자 자활지원사업 대상자의 성명, 생년월일, 연령, 주소가 포함된 지원사업 관련
자료(의결례 제2019-22-353호)

그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보
╶ “사생활을 현저하게 침해할 우려가 있는 개인정보”란 해당 정보를 수집·처리함으로써 「헌법」상 보장된 사생활의 비밀과 자유의 본질적 내용이 침해될 우려가 있는 것을 말함
╶ 해석의 여지가 크기 때문에 민감정보로 특별히 보호할 필요가 있다고 사회적 합의가 이루어진
정보를 상황에 맞게 규정할 수 있도록 대통령령에 위임함

공공기관이 대통령령으로 정하는 민감정보 가운데 어느 하나에 해당하는 정보를
다음의 업무수행을 위하여 처리하는 경우에는 민감정보로 보지 아니하므로, 이
경우에는 정보주체로부터 별도 동의 없이 처리가 가능함

민감정보처리가 허용된 공공기관의 업무수행 범위
• 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서
정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
• 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한
경우
• 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
• 법원의 재판업무 수행을 위하여 필요한 경우
• 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

 

9. 고유식별정보의 개념(제24조 제1항)
◈ “고유식별정보”란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령
령으로 정하는 정보를 말함.
◈ 법 제24조 제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말함.
1. 「주민등록법」 제7조의2 제1항에 따른 주민등록번호
2. 「여권법」 제7조 제1항 제1호에 따른 여권번호
3. 「도로교통법」 제80조에 따른 운전면허의 면허번호
4. 「출입국관리법」 제31조 제5항에 따른 외국인등록번호

╶ 고유식별정보는 법령에 의해서 개인에게 부여된 것이어야 하므로 기업, 학교 등이 소속 구성원
에게 부여하는 사번, 학번 등은 고유식별정보가 될 수 없음. 또한, 사람이 아닌 법인이나
사업자에게 부여되는 법인등록번호, 사업자등록번호 등도 고유식별정보가 될 수 없음
╶ 고유식별번호의 범위를 대통령령에서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호로
정하고 있는데, 이들 정보가 민간 분야에서 DB매칭키 등으로 남용되어 개인의 프라이버시 침해
가능성이 높은 정보라는 점을 고려한 것임
╶ 다만, 대통령령이 정하고 있는 고유식별정보 가운데 어느 하나에 해당하는 정보를 공공기관이
다음의 업무수행을 위하여 처리하는 경우에는 고유식별정보로 보지 않음

고유식별정보처리가 허용된 공공기관의 업무수행 범위
• 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서
정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
• 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한
경우
• 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
• 법원의 재판업무 수행을 위하여 필요한 경우
• 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

 

개인정보 수집·이용(제15조 제1항)

◈ 수집이란 정보주체(직접)로부터 또는 제3자(간접)로부터 개인정보를 제공받거나 취득하는
일체의 행위를 말함

 

☞ 개인정보의 “수집”이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만
아니라 제3자로부터 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말함. 다만, 인터넷
등에 공개된 자료의 경우 이에 해당하지 않음.

◈ 수집한 개인정보는 목적범위 내에서 이용할 수 있음
☞ 개별 법령에서 개인정보의 “수집”을 허용한 경우, 이용에 관한 규정이 없더라도 수집목적 범위
내에서 이용할 수 있음

 

1. 개인정보 수집·이용의 정당화 사유(제15조 제1항)
정보주체의 동의를 받은 경우(제1항 제1호)
╶ ‘동의’는 개인정보처리자가 개인정보를 수집·이용하는 것에 대한 정보주체의 자발적인 승낙의
의사표시로서(서명날인, 구두, 홈페이지 동의 등) 동의 여부를 명확하게 확인할 수 있어야 함
※ 동의의 사례
- 신용카드 발급 시 ｢개인정보 활용동의서｣에 기명날인하는 경우
- 인터넷 포털 회원가입 시 개인정보 수집·이용 동의에 체크하는 경우
- 자문비 지급 신청서 작성시 개인정보 수집·이용 동의에 체크하는 경우
※ 동의 받을 때 의무 고지사항
① 수집·이용 목적 ② 수집 항목 ③ 보유·이용 기간
④ 동의 거부 권리 및 동의 거부 시 불이익 내용
<개인정보 수집 시 동의 예시>
□ 개인정보의 수집·이용
• 수집·이용 목적 : OOOOOOOOOOO
• 수집 항목 : OOOOOOOOOO
• 개인정보 보유 및 이용 기간 : OOOOOOOOOO
• 동의를 거부하실 수 있으며, 거부 시 OOOOOOOO 없습니다.
□ 동의 □ 동의하지 않음
╶ 인터넷 홈페이지 등 공개된 매체, 장소 등에 정보주체가 자신의 개인정보를 수집·이용해도
된다는 명시적인 동의의사를 표시하거나, 홈페이지의 성격, 게시물 내용 등에 비추어 사회
통념상 동의의사가 있었다고 인정되면*, 해당 정보주체의 개인정보는 동의 없이 수집·이용 가능
(표준지침 제6조 제4항)

 

* ‘공개된 개인정보’

의결례
서울특별시 민생사법경찰단의 온라인에 공개된 게시물 수집·이용
서울특별시 민생사법경찰단이 범죄 수사와 내사의 전단계에서 이루어지는 조사활동을 목적으로
인공지능 기반 시스템을 개발하여 인터넷·SNS 등 온라인에 공개된 게시물을 광범위하게
수집하고, 범죄관련성이 높다고 판단되는 게시물을 분석하여 해당 게시물에 포함된 성명, 아이디,
(휴대)전화번호,주소, 업체명 등을 이용하는 것은 ｢개인정보 보호법｣ 제15조 제1항 제1호,
제2호 및 제3호에 위반된다(보호위원회 결정 제2019-09-130호).

법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우(제1항 제2호)
╶ ‘법률’에서 수집·이용을 구체적으로 요구하거나 허용하고 있어야 함
╶ 따라서 시행령이나 시행규칙에서 규정하는 경우는 이에 해당하지 않음

※ 법률에 특별한 규정이 있는 경우 예시
- 신용정보법 제40조(신용정보회사등의 금지사항)
① 신용정보회사등은 다음 각 호의 행위를
하여서는 아니 된다.

 

4. 특정인의 소재 및 연락처(이하 “소재등”이라 한다)를 알아내는 행위. 다만, 채권추심회사가
그 업무를 하기 위하여 특정인의 소재등을 알아내는 경우 또는 다른 법령에 따라 특정인의
소재 등을 알아내는 것이 허용되는 경우에는 그러하지 아니하다.

- 「병역법」 제11조의2(자료의 제출 요구 등) ① 지방병무청장은 병역판정검사와 관련하여 병역
판정검사전담의사, 병역판정검사전문의사 또는 제12조의2에 따라 신체검사를 위하여 파견된
군의관(軍醫官) 등이 질병이나 심신장애의 확인을 위하여 필요하다고 인정하는 경우

「의료법」에 따른 의료기관의 장, 「국민건강보험법」에 따른 국민건강보험공단의 장, 「초·중등
교육법」에 따른 학교의 장 등에 대하여 병역판정검사 대상자의 진료기록·치료 관련 기록
내역, 학교생활기록부 및 학생건강기록부 등의 제출을 요구할 수 있다. 이 경우 자료 제출을
요구받은 사람은 특별한 사유가 없으면 요구에 따라야 한다.

② 누구든지 제1항에 따라 취득한 병역판정검사 대상자에 대한 정보·자료를 공개 또는 누설하거나
다른 사람에게 제공하는 등 병역판정검사 외의 목적으로 사용하여서는 아니 된다.
╶ 법률, 시행령, 시행규칙 등 ‘법령’에서 개인정보처리자에게 일정한 의무를 부과하여 그 의무
준수를 위해 개인정보를 불가피하게 수집·이용할 수 밖에 없는 경우를 말함

※ 법령상 의무 준수를 위해 불가피한 경우에 해당하는 사례
- 「소비자기본법」에서 사업자가 결함상품 리콜의무를 이행하기 위한 개인정보의 수집·이용
- 「정보통신망 이용촉진 및 정보보호에 관한 법률」 제44조의5의 게시판 사용자의 본인 확인
의무를 이행하기 위한 개인정보의 수집·이용
╶ 일반적으로 법률의 규정에 의한 수집·이용은 정보주체로부터 보다는 제3자로부터의 수집·
이용을 의미하는 경우가 많음

 

판 례
법률에 제3자에게 제공의무를 규정하고 있지 않아도 제공 가능
법률에서 수집·이용을 요구하거나 허용하기만 하고 상대방(제3자)에게 제공 의무를 규정하고
있지 않아도 제3자는 정보주체의 동의 없이 개인정보를 제공할 수 있다(대법원 2012다 105482 판결, 2016.3.10. 선고).
공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우(제1항 제3호)
╶ 공공기관의 경우 개인정보를 수집할 수 있도록 명시적으로 허용하는 규정이 없더라도 ‘법령
등’에서 소관업무를 정하고 있고 그 소관업무의 수행을 위하여 개인정보를 불가피하게 수집할
수 밖에 없는 경우를 말함
╶ 예를 들어, 정부조직법, 각 기관별 직제령, 직제규칙 등 조직법뿐 아니라 「주민등록법」, 「지능
정보화기본법」등 작용법 등에서 공공기관에 소관업무 수행을 규정하고 있는 경우
╶ 하나의 공공기관에 소속된 내부 직원끼리 소관업무를 수행하기 위하여 개인정보를 전달하는
것은 하나의 개인정보처리자 내의 개인정보취급자간 전달이므로 가능

※ 공공기관이 법령 등에서 정하는 소관업무 예시
- 인사혁신처가 ｢정부조직법｣ 제22조의3, ｢인사혁신처와 그 소속기관 직제｣ 및 ｢인사혁신처와
그 소속기관 직제 시행규칙｣에 따라 공무원의 인사·윤리·복무·연금 등 관리를 위해 공무원
인사 관련파일을 수집·이용하거나 국가인재데이터베이스 시스템을 구축·운영하는 경우
- 국민건강보험공단이 ｢국민건강보험법｣ 제14조에 따라 보험급여관리 등을 위하여 진료내역
등을 수집·이용하는 경우

정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우(제1항 제4호)
╶ 이 경우까지 동의를 요하는 것은 지나치게 경제 활동을 제약하기 때문에 이런 경우 동의 없이도 수집 허용
※ 계약 체결 사례
- 보험회사가 계약체결을 위해 청약자의 자동차사고 이력, 다른 유사보험의 가입여부 등에 관한
정보를 수집하는 경우
- 거래 체결 전에 거래상대방의 신용도 평가를 위해 정보를 수집·이용하는 경우
※ 계약 이행 사례
- 고객이 주문한 상품을 배송하기 위하여 주소, 연락처 정보를 수집하는 경우
- 경품행사시 당첨자에게 경품을 발송하기 위해 주소와 연락처 정보를 요구하는 경우

정보주체의 사전 동의를 받을 수 없는 경우로서 정보주체 또는 제3자의 급박한 생명,
신체, 재산의 이익을 위하여 필요하다고 인정되는 경우(제1항 제5호)
╶ ‘정보주체의 사전 동의를 받을 수 없는 경우’란 정보주체나 법정대리인이 의사표시를 할 수
없거나 주소불명 등으로 사전 동의를 할 수 없는 경우가 이에 해당한다고 해석
╶ ‘정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우’란
이익과 손해를 비교하여 이익이 월등한 경우를 말하며, 급박한지 여부는 동의를 받을 수 있는
충분한 시간적 여유가 있는지 여부를 말함

※ 급박한 사례에 해당하는 경우
- 조난·홍수 등으로 실종되거나 고립된 사람을 구조하기 위하여 연락처, 주소, 위치정보 등 개인
정보를 수집하는 경우
- 아파트에 화재가 발생한 경우, 집안에 있는 자녀를 구하기 위해 해당 자녀 또는 부모의 이동
전화번호를 수집하는 경우

개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백히 정보
주체의 권리보다 우선하는 경우(제1항 제6호)
╶ 개인정보처리자의 정당한 이익과 정보주체의 권리를 비교하여 전자의 이익이 명백하게 월등한
경우를 말함
╶ 해당 개인정보의 수집과 이용이 개인정보처리자의 정당한 이익과 관련성이 높고 합리적 범위
내의 것이어야 함
╶ 개인정보처리자의 정당한 이익을 달성하기 위한 경우인지 판단은 정보주체의 이익과 비교하여
신중하게 판단해야 함
※ 정당한 이익 달성 사례
- 사업자가 요금정산·채권추심 등을 위하여 고객의 서비스 이용내역, 과금내역 등의 개인정보를
생성·관리하는 경우
- 사업자가 고객과의 소송이나 분쟁에 대비하여 요금 정산자료, 고객의 민원제기 내용 및 대응
자료 등을 수집·관리하는 경우

철도 운전실에 CCTV를 설치하여 두 손을 촬영하는 것
한국철도공사가 철도사고시 사고원인 규명을 위하여 폐쇄된 공간인 철도차량 운전실에 폐쇄회로
텔레비전을 설치하여 각종 계기판과 안전운행장치 등으로 구성된 운전제어대와 그 위에 위치한
기관사의 두 손을 촬영하고, 촬영된 영상정보를 최장 7일간 각 철도차량 운전실 저장장치에 저장
하고 철도사고 시에만 사고원인 규명을 위하여 열람·이용한 사안에서
① 철도사고 원인규명과 승객의 안전 확보가 한국철도공사의 정당한 이익에 해당하며
② 본건 영상정보의 수집 및 이용이 그러한 목적 달성에 필요하며
③ 목적 달성을 위하여 합리적인 범위를 초과하지 않고
④ 본건 영상정보의 촬영 대상, 보관 기간 등을 감안하면 한국철도공사의 정당한 이익이 본건 영상정보의 위와 같은 촬영으로 인하여 제한되는 정보주체(기관사)의 개인정보자기결정권보다 명백히 우선 한다는 이유로 법 제15조 제1항 제6호 사유가 있다(보호위원회 결정 제2015-12-22호).

조 문
위반행위
벌칙수준
제75조 제1항 제1호
제15조 제1항을 위반하여 개인정보를 수집한 자
5천만원 이하의 과태료
제75조 제2항 제1호
제15조 제2항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자
3천만원 이하의 과태료

 

2. 개인정보의 추가적인 이용
개인정보 이용 범위 확대(제15조 제3항)
╶ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 다음 각 호의 사항을 고려하여 정보주체의 동의 없이 이용할 수 있음
※ 당초 수집 목적과 합리적 관련성 판단의 고려 요소
- 당초 수집 목적과 관련성이 있는지 여부
- 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에
대한 예측 가능성이 있는지 여부
- 정보주체의 이익을 부당하게 침해하는지 여부
- 가명처리 또는 암호화 등 안전성 확보에 필요한 조치 수행 여부
╶ 위 고려사항에 대한 판단 기준을 개인정보 처리방침에 미리 공개하고, 개인정보 보호책임자가
해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 함
참 고
사 례
EU의 당초 수집 목적과 합리적으로 관련된 범위의 개인정보 이용·제공 사례
• LP음반 판매 회사가 고객의 동의를 받아 정기적으로 LP음반의 카탈로그를 보내다가, 오디오
테이프, CD, DVD형태의 음악 카탈로그도 보내는 경우(개인정보보호 법령 및 지침 고시 해설,
2020, 96면)
• 약국에서 다른 고객의 의약품을 잘못 가져간 경우, 약국이 고객에게 위 사실을 알리기위하여
처방 병원으로부터 휴대전화번호를 제공받아 전화하는 경우(개인정보보호 법령표준해설례. 25)

3. 필요 최소한의 개인정보 수집
개인정보 최소 수집 원칙(제16조)
╶ 목적에 필요한 최소한의 개인정보를 수집. 단 최소한의 개인정보 수집 입증 책임은 개인정보
처리자가 부담
╶ 필요 최소한의 정보 외의 개인정보 수집에는 동의 거부 가능을 구체적으로 알리고 수집
╶ 최소한의 개인정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 재화 등 제공 거부 금지

조 문
위반행위
벌칙수준
제75조 제2항 제2호
개인정보처리자가 정보주체가 필요한 최소한의 정보 외의 개인 정보 수집에 동의하지 아니한다는 이유로 보주체에게 재화 또는 서비스의 제공을 거부한 자(제16조 제3항 위반)
3천만원 이하의 과태료

4. 동의를 받는 방법(제22조)
동의를 받을 때에는 각각의 동의사항을 구분하여 정보주체가 이를 명확하게 인지할 수
있도록 알려야 함(제1항)
동의를 서면으로 받을 때에는 대통령령으로 정한 중요한 내용을 명확하고 알기 쉽게
표기해야 함(제2항)
동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분하여야 함(제3항)

╶ 개인정보처리자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 필수정보(정보
주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보)와 선택정보
(정보주체의 동의가 필요한 개인정보)를 구분하여야 함
╶ 이 경우 이것이 선택정보가 아니라 필수정보(동의 없이 처리할 수 있는 개인정보)라는 입증
책임은 개인정보처리자가 부담함
╶ 그러므로 개인정보처리자는 이것이 선택정보인지 필수정보인지 불분명하다면 선택정보라고
생각하고 동의를 받아 처리하는 것이 안전함

홍보 또는 판매가 목적일 경우 정보주체가 이를 명확하게 인지할 수 있도록 알리고
동의 받아야 함(제4항)
╶ 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인
정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고
동의를 받아야 함
╶ 이와 같은 특칙은 업무위탁에 의한 개인정보 처리의 경우에도 있는데, 위탁자가 재화 또는
서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 함. 위탁하는 업무의 내용이나
수탁자가 변경된 경우에도 또한 같음(제26조 제3항).
선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화 또는 서비스의
제공을 거부해서는 안 됨(제5항)
만14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야 함(제6항)
╶ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를
받아야 할 때에는 그 법정대리인의 동의를 받아야 함
╶ 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이
해당 아동으로부터 직접 수집할 수 있음

위반행위
벌칙
제1항 ~ 제4항 위반 시
1천만원 이하의 과태료
제5항 위반 시
3천만원 이하의 과태료
제6항 위반 시
5천만원 이하의 과태료

▶ 동의의 구체적인 방법
각각 동의
① 수집·이용 동의(제15조 제1항 제1호)
② 제3자 제공 동의(제17조 제1항 제1호)
③ 국외 제3자 제공 동의(제17조 제3항)
④ 마케팅 목적 처리 동의(제 22조 제3항)
⑤ 법정대리인의 동의(제22조 제5항)
별도동의
⑥ 목적 외 이용·제공 동의(제18조 제2항 제1호)
⑦ 개인정보를 제공받는 자의 이용·제공 제한(제19조 제1호)
⑧ 민감정보 처리 동의(제23조 제1항 제1호)
⑨ 고유식별정보 처리 동의(제24조 제1항 제1호)

▶ 동의서에 특히 명확히 표시해야 하는 항목(시행령 제17조 제2항)
① 재화나 서비스의 홍보 및 판매 권유, 기타 이와 관련된 목적으로 개인정보를 이용하여 정보
주체에게 연락할 수 있다는 사실
② 민감정보, 고유식별정보
③ 개인정보의 보유 및 이용 기간
④ 개인정보 제공받는 자 및 제공받는 자의 이용 목적

5. 동의의 철회(제39조의7)
철회 자유의 원칙
╶ 정보주체가 가지는 정보에 대한 자신의 결정권은 정보 수집뿐 아니라 모든 단계에서 인정되어야
하는 권리이므로, 정보주체는 언제든지 동의의 철회를 할 수 있어야 함
정보통신서비스 이용자는 제공자에게 언제든지 동의 철회 가능
╶ 법 제39조의7은 정보통신서비스 제공자 등의 개인정보 처리 특례에서 동의 철회 자유를
명시적으로 인정
╶ 이와 같이 철회한 경우 정보통신서비스 제공자등은 지체 없이 수집된 개인정보를 복구·재생
할 수 없도록 파기하도록 규정

조 문
위반행위
벌칙수준
제75조 제2항
제12호의5
제39조의7 제2항(제39조의14에 따라 준용되는 경우를 포함
한다)을 위반하여 개인정보의 동의 철회·열람·정정 방법을
제공하지 아니한 자
3천만원 이하의 과태료
제75조 제2항
제12호의6
제39조의7 제3항(제39조의14에 따라 준용되는 경우와 제27조 에 따라 정보통신서비스 제공자등으로부터 개인정보를
이전받은 자를 포함한다)을 위반하여 필요한 조치를 하지
아니한 정보통신서비스 제공자등
3천만원 이하의 과태료

민원처리를 위해 다른 직원에게 민원인 전화번호를 전달해도 되는지?(표준 해석례 20)
고객응대 등 민원업무 처리를 위해 담당 직원에게 민원을 전달하고 민원인의 전화번호를 알려주는
행위가 「개인정보 보호법」에 위반되는지요?
? 민간은 동의를 받거나 계약체결의 이행을 위하여 필요한 범위에서 전화번호 전달이
가능하나 공공은 법령에 근거하여 민원인의 동의를 받지 않고 전화번호 전달이 가능

• (민간) 개인정보처리자는 정보주체의 동의, 계약의 체결 및 이행을 위해 불가피한 경우 개인
정보를 수집·이용할 수 있음(개인정보보호법 제15조 제1항 제1호, 제4호)
- 정보주체로부터 동의를 받거나 만약 물건 판매 또는 서비스 제공 등 계약과 관련한 민원의
처리인 경우 불가피하게 필요한 범위 내에서 정보주체의 동의를 받지 않고 개인정보를 수집·
이용할 수 있음
• (공공) 공공기관은 법률에 특별한 규정이 있는 경우 정보주체의 동의 없이 개인정보를 수집·
이용할 수 있음(개인정보보호법 제15조 제1항 제2호)
- 「민원처리에 관한 법률」에 따라 접수한 민원에 대해 처리 담당자 지정 및 처리협조 등을 위해
민원인의 개인정보를 전달할 수 있음
- 다만, 권한없는 직원에게 민원인의 개인정보를 전달하는 것은 개인정보 처리행위가 아니므로
개인정보 유출에 해당할 수 있음

질문2 : 고객의 동의를 받지 않고 만족도 조사를 해도 되는지? (표준 해석례 21)
서비스 품질에 대한 고객만족도 조사를 하면서 고객의 동의없이 개인정보를 이용해도
되는지요?

답변 : 민간은 동의를 받거나 계약체결의 이행을 위하여 필요한 범위 내에서 동의를 받지 않고 만족도 조사가 가능하나 공공은 법령에 근거하여 민원인의 동의를 받지 않고 만족도 조사가 가능
• (민간) 「개인정보 보호법」제15조 제1항 제1호에 따라 개인정보처리자는 정보주체의 동의를
받아 개인정보를 수집·이용할 수 있으나
- 물건 판매 또는 서비스 제공 등 계약과 관련한 만족도 조사는 같은 항 제4호에 따라 정보
주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 범위 내에서 정보주체의
동의를 받지 않고 개인정보를 수집·이용할 수 있음
• (공공)「개인정보 보호법」제15조 제1항 제3호에 따라 공공기관은 법령 등에서 정하는 소관
업무의 수행을 위하여 불가피한 경우 동의를 받지 않고 개인정보를 수집·이용할 수 있음

- 「공공기관의 운영에 관한 법률」제13조에 따라 국민에게 직접 서비스를 제공하는 기관의
경우 매년 1회 이상 고객만족도 조사를 실시하여야 하며, 「민원처리에 관한 법률」 제26조에
따라 행정기관의 장은 처리한 민원에 대하여 민원인의 만족 여부 및 개선사항 등을 조사하여
업무에 반영할 수 있음

질문3 : 코로나 방역수칙 관련 팬션의 개인정보 수집·이용 범위는? (표준 해석례 22)
관광지에서 펜션을 운영하고 있습니다. 방역수칙 준수를 위해 5인 이상 투숙시 가족인지 여부를
확인하고 있습니다. 이를 위하여 어느 정도의 개인정보를 수집·이용할 수 있는지 궁금합니다.
- 「공공기관의 운영에 관한 법률」제13조에 따라 국민에게 직접 서비스를 제공하는 기관의
경우 매년 1회 이상 고객만족도 조사를 실시하여야 하며, 「민원처리에 관한 법률」 제26조에
따라 행정기관의 장은 처리한 민원에 대하여 민원인의 만족 여부 및 개선사항 등을 조사하여
업무에 반영할 수 있음
? 펜션 운영자가 5인 이상 투숙시 가족인지 여부를 확인하기 위한 것이라면, 관련
서류를 받아서 보관하지 말고 확인 후 돌려주는 것이 좋습니다.
• 「개인정보 보호법」제15조 제1항 제4호는 정보주체와의 계약의 체결 및 이행을 위하여
불가피하게 필요한 경우 정보주체의 동의를 받지 않고 개인정보를 수집·이용할 수 있도록
규정하고 있습니다.
- 그런데 이 경우 개인정보의 수집·이용은 목적을 달성하기 위한 필요 최소한의 방법으로
하는 것이 바람직합니다.
- 따라서 이 경우 펜션 운영자가 5인 이상 투숙시 가족인지 여부를인하기 위한 서류는 받아서
보관하지 말고 확인 후 돌려주는 것이 좋습니다.
Q28. 호텔, 펜션 등 숙박업소에서도 4명까지만 이용이 가능한가요?
• 숙박업소 이용목적에 따라 제한받을 수 있음
- 공적 업무 수행, 기업의 필수경영활동으로 불가피한 출장, 직계가족 또는 거주공간이
동일한 가족의 경우 등은 객실 정원에 따라 이용 가능
- 사적 모임인 경우에는 객실 정원 내에서 4명까지만 이용 가능
? 수집정보 : 예약자 성명, 차량번호(차종), 긴급 연락처
? 확인정보 : 주민등록등본 또는 가족관계등록부, 재직증명서, 주민등록증 등은 필요한
경우 확인 후 서명받고 돌려줌
※ 서류를 현장에서 확인하고 정보주체에게 돌려주는 것은 확인행위로서 개인정보의 처리가
아님

질문4 : 개인 진료기록을 의료진이 사전에 열람한 경우 불법인지? (표준 해석례 23)
환자가 병원에 입원하고 퇴원후 다시 재입원하였을 때 1차 입원내역을 환자가 열람
신청하지 않은 상태에서 병동 간호사가 진료목적으로 열람하였을 경우 개인정보보호법
위반인가요?
? 환자의 동의를 받아 1차 진료기록을 사전 열람할 수 있음
• 「개인정보 보호법」제6조에 따라 개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는
경우 다른 법률을 우선 적용하여야 하나, 「의료법」제21조(기록열람)에 의료기관 종사자의
환자 의료기록 열람에 대한 규정이 없으므로 보호법을 적용하여야 함
• 다만, 「개인정보 보호법」제23조 제1항 제1호에 따라 개인정보처리자는 건강에 관한 정보
등 민감정보에 대해 정보주체에게 제15조 제2항 각 호 또는 제17조 제2항 각 호의 사항을
알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받아 처리할 수 있음
- 따라서 재입원 환자의 진료에 참고하기 위해 의료기관 종사자가 1차 진료기록을 사전 열람
하려면 환자의 동의를 받아야 함
※ 그런데 ｢의료법｣에는 이에 관한 별도 규정이 없으므로 ｢개인정보 보호법｣을 적용하여 위와
같이 판단한 것입니다.

질문5 자체감사를 위해 직원의 개인정보를 처리해도 되는지? (표준 해석례 32)
기관 내부에서 자체감사를 위하여 소속 직원의 개인정보를 처리할 수 있는지, 있다면 어떤 조건에서 처리할 수 있는지 궁금합니다.

답변:당해 기관이 국가기관 등 공공기관 직원인지, 민간기관인지에 따라 다릅니다. 공공
기관은 동의 없이 소속 직원의 개인정보를 수집·처리할 수 있지만, 민간기관은 소속
직원의 동의가 필요합니다.
• (공공기관인 경우) 「개인정보 보호법」제15조 제1항 제2호, 「개인정보 보호법」제18조 제2항
제2호는 법률에 특별한 규정이 있는 경우 정보주체의 동의 없이 개인정보를 수집·이용할 수
있도록 허용하고 있습니다.
- 그런데, 「공공감사에 관한 법률」 제20조 제1항과 제3항은 자체감사를 위하여 공무원 및
소속 직원에게 자료 제출을 요구할 수 있다고 규정하고 있으므로, 다른 법률에 특별한 규정 있는 경우에 해당합니다(개인정보보호위원회 2016.7.11. 제2016-11-19호 결정 참조).
- 따라서 공공기관은 동의 없이 자체감사를 위하여 소속 직원의 개인정보를 처리할 수
있습니다.
• (민간기관인 경우) 민간기관(회사 등)은 「개인정보 보호법」제18조 제1항 제2호, 「개인정보
보호법」제18조 제2항 제2호에 따라 소속 직원의 동의를 받거나 노사협의를 통해 자체감사를
위하여 개인정보를 수집, 이용하거나 가지고 있는 개인정보를 목적 외 이용 가능합니다.

질문6 : 청사 CCTV 영상을 기관 자체감사에 이용해도 되는지?(표준 해석례 33)
소속 공무원의 출장여비 및 초과근무수당의 부당수령 등에 대한 제보나 의심 정황
발생 시, 제보 내용의 진위여부를 확인하기 위해 청사에 방호 목적으로 설치된
CCTV 영상정보를 이용할 수 있는지?
답변 : 민간은 소속 직원의 동의 또는 노사협의를 통해 처리할 수 있으나, 공공기관은 공공 감사법에 근거하여 청사의 CCTV 영상을 자체감사에 이용할 수 있음
• (민간) 「개인정보 보호법」제18조 제2항 제1호에 따라 정보주체의 동의를 받아 개인정보를
목적외 이용 및 제3자 제공할 수 있으므로 소속직원으로부터 동의를 받아 CCTV 영상정보를 자체감사에 이용할 수 있으며, 노사협의를 통해 처리할 수 있음
• (공공) 「개인정보 보호법」제18조 제2항 제2호에 따라 법률의 특별한 규정이 있는 경우 정보
주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적
외 이용하거나 제3자에게 제공할 수 있음
- 공공감사법 제20조 제1항, 제3항은 자체감사를 위하여 공무원 및 소속 직원에게 자료
제출을 요구할 수 있다고 규정하고 있어, 다른 법률에 특별한 규정에 해당함(보호위원회 결정
제2021-106-011호 참조)
- 따라서, 공공기관이 청사관리 목적으로 설치하여 수집한 CCTV 영상정보를 자체감사 목적으로
이용할 수 있음. 다만, 이 경우에도 다른 정보주체 등의 이익을 부당하게 침해하지 않도록
하여야 함

질문7 : SNS로 회원가입 시 동의받지 않고 추가정보를 수집해도 되는지?(표준 해석례 47)
인터넷으로 서비스를 하는 회사입니다. 우리 회사는 홈페이지 회원가입 시 이용자로부터 동의를
받아 이름, 휴대폰 번호를 수집 및 저장하고 있습니다. 또한 SNS 계정을 통한 간편 회원가입
기능을 제공하고 있습니다. 이 과정에서 SNS 회사로부터 이용자의 이름, 휴대폰 번호, 이메일
주소를 제공받고 있습니다. 그런데 SNS 회사에서 받는 개인정보에 대해서는 이용자의 동의를
받지 않고, 우리 회사의 개인정보 처리방침에서 그 사실을 명시하고만 있습니다. SNS 회사에서
개인정보를 제공받는 것이 개인정보보호법에 위배되는지 궁금합니다.

답변 : 정보주체의 동의를 받지 않고 SNS 회사에서 개인정보를 제공받아 이용하는 것은 개인정보보호법을 위반하는 것입니다.
• 일반적인 개인정보처리자는 「개인정보 보호법」 제15조 제1항 제1호에 따라, 정보통신서비스
제공자는 제39조의3 제1항에 따라 정보주체에게 수집·이용되는 개인정보를 명확하게 알리고
동의를 받아야 하며, 이 때 동의의 방법은 법 제22조에 따릅니다.
- 따라서, 본인의 회사에서 정보주체에게 동의를 받은 내용 이외에 추가 개인정보를 제3자
로부터 제공받을 때에는 별도의 동의를 받아야 합니다. 별도의 동의없이 개인정보 처리
방침에 기재하여 알리는 것만으로는 법 위반에 해당합니다.

질문8 : 민원인이 지방자치단체에서 보유하고 개인정보 수집에 대한 동의의 철회를 주장하며 그 파기를 요구하고 있습니다. 현재 보유하고 있는 개인정보를 파기하여야 하는지 궁금합니다.
답변 : 지방자치단체에서 보유하고 있는 개인정보의 수집·이용 근거가 법령에 기반한
것이 아니라 정보주체의 동의에 기반한 것이라면 파기하여야 합니다.
• 「개인정보 보호법」제4조 제4호는 정보주체에게 ‘개인정보의 파기를 요구할 권리’를 인정하고
있으므로, 정보주체는 개인정보의 파기를 요구할 수 있습니다.
• 지방자치단체에서 보유하고 있는 개인정보의 수집·이용 근거가 「개인정보 보호법」제15조
제1항 제2호, 제3호 ‘법령에 기반한 것’인 경우는 파기할 필요가 없습니다.
- 제2호 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 제3호
공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우라면 동의와
무관하게 별도의 개인정보의 수집·이용 근거가 있는 것이므로 파기할 필요가 없습니다.
※ 다른 법령에서 그 개인정보가 수집대상으로 명시되어 있는 경우 그 삭제를 요구할 수 없음.

법률 제17조(개인정보의 제공) - 52쪽(59페이지)
시행령 제14조의2(개인정보의 추가적인 이용·제공의 기준 등) 표준지침 제7조(개인정보의 제공)

1. 개인정보 제3자 제공
1) 개인정보 제3자 제공의 개념
◈ 개인정보의 "제공"이란 개인정보의 저장 매체나 개인정보가 담긴 출력물·책자 등을 물리적으로
이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인
정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든
행위를 말함(표준지침 제7조 제1항)
☞ 개인정보의 제공에는 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에
대한 접속권한을 허용하여 열람·복사가 가능하게 하여 개인정보를 공유하는 경우 등도 포함됨. 단,
개인정보의 제공과 아래 다른 개념과의 구분에 주의를 요함.
※ 개인정보를 제공받는 “제3자”란 정보주체와 개인정보처리자를 제외한 모든 자를 의미하며, 정보주체의 대리인과 수탁자(법 제26조 제2항에 따른)는 제3자에서 제외됨(표준지침 제7조 제2항).
※ 개인정보 제3자 제공과 구분해야 할 개념
• 개인정보의 이용: 개인정보처리자(기관·단체·법인 등) 내에서 개인정보의 지배·관리권 이전
없이 스스로의 목적으로 쓰는 것(예: 같은 개인정보처리자 내의 다른 부서가 이용) → 이는
제3자에게 개인정보가 이전되는 것이 아니므로 개인정보의 제공이 아님
• 업무위탁: ‘업무위탁’의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인정보가
제3자(수탁자)에게 이전되지만, ‘제공’은 제공받는 자의 업무를 처리할 목적 및 이익을 위해서
개인정보가 이전된다는 점이 차이점 → 업무위탁의 경우 위탁자로부터 업무를 위탁받은
‘수탁자’는 제3자에 해당하지 않으므로 개인정보의 제공이 아님 → 법 제26조에서 별도의
규정을 두고 있으며, 제공과 관련한 규정은 적용되지 않음
• 영업의 양도·합병: 개인정보의 처리 형태가 변하는 것이 아니라 그 관리주체만 변한다는
점에서 ‘제공’과는 차이가 있음 → 법 제27조에서 별도의 규정을 두고 있으며, 제공과 관련한
규정은 적용되지 않음
☞ 개인정보의 이전이 있는 것으로 보이는 경우 먼저 그 목적, 형태, 당사자간의 관계 등에 비추어 그것이 개인정보처리자의 내부적인 이용, 제3자 제공, 업무위탁, 영업양도·합병 중에서 어느 개념에 해당 하는지 판단하여야 해당 사안에 적용되는 규정을 확정할 수 있음

2) 개인정보 제3자 제공이 가능한 경우
정보주체의 동의를 받은 경우(제17조 제1항 제1호)
╶ 정보주체의 동의를 받은 경우 그 동의의 범위 내에서 개인정보 제3자 제공이 가능함.
※ 여기에서 말하는 동의는 정보주체로부터 미리 받아 둔 동의를 말하며, 기존에 받은 동의의 범위를 넘어서 제3자 제공을 하는 경우에는 ‘개인정보의 목적 외 제공’에 해당하여 법 제18조에 따라 규율됨.
제3자 제공에 관한 동의를 받을 때의 의무 고지사항(제17조 제2항)
① 개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)
② 제공받는 자의 개인정보 이용 목적
③ 제공하는 개인정보의 항목
④ 제공받는 자의 개인정보 보유 및 이용 기간
⑤ 동의 거부권이 존재하다는 사실 및 동의 거부에 따른 불이익

위반사례.사례
• XX서점은 영업의 특성상 제휴업체가 빈번히 변경된다는 이유로 회원가입신청서상에
“개인정보를 제공받는 자(제휴업체명) 및 개인정보의 제공목적”을 고지하지 않고
개인정보를 여러 제휴업체와 제공·공유함
• XX마트는 “개장 기념 경품이벤트”를 실시하면서, 경품행사에 응모한 고객의 정보가
제휴 생명보험사에 제공되어 「휴일 무료 상해보험」에 가입된다는 사실에 대한 동의를
받지 않고 제휴업체에 제공함
출처: 개인정보 보호법 해설서

법 제15조 제1항 제2호·제3호·제5호 및 제39조의3 제2항 제2호·제3호에 따라
개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우(제17조 제1항 제2호)
╶ 법률에 제3자 제공에 관한 특별한 규정이 있는 경우
※ ‘법률의 특별한 규정이 있는 경우’란 법률에서 개인정보의 활용에 대하여 구체적으로 요구하거나
허용하고 있는 경우를 말함.

※ 법률이 구체적으로 제3자 제공을 요구하거나 허용하고 있는 경우의 예시
• 시·군·구의 장의 공직선거 입후보자에 대한 선거인명부 교부(「공직선거법」 제46조)
• 보험요율산출기관의 보험회사에 대한 보험계약자 교통법규위반 개인정보 제공(「보험업법」
제176조)

╶ 법령상 의무를 준수하기 위하여 제3자 제공이 필요한 경우
※ 법령에서 개인정보처리자에게 일정한 의무를 부과하고 있는 경우로서 해당 개인정보처리자가 그
의무 이행을 위해서 개인정보를 불가피하게 수집·이용할 수밖에 없는 경우를 말하며, 이 경우에는
‘법률’에 제한되지 않고 시행령, 시행규칙에 따른 의무도 포함됨.

※ 법령상 의무를 준수하기 위하여 제3자 제공이 필요한 경우의 예시
• 학원을 설립·운영하려는 자의 강사명단 등을 교육감에게 등록하여야 하는 의무(「학원의 설립·
운영 및 과외교습에 관한 법률」 제6조)를 이행하기 위한 교육감으로의 개인정보의 제공
• 소득지급자의 소득귀속자에 대한 원천징수의무 및 원천징수이행상황신고의무(「소득세법」
제127조 및 제128조)를 이행하기 위한 과세관청으로의 개인정보의 제공
╶ 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피하여 개인정보를 수집한 경우로서
그 수집 목적 범위 내에서 개인정보를 제공하는 경우

※ 법령 등에서 정하는 소관업무의 예시
• 「정부조직법」 및 각 기관별 직제·직제규칙, 개별 조직법 등에서 정하고 있는 소관 사무
• 「주민등록법」, 「국세기본법」, 「의료법」, 「국민건강보험법」 등 소관법령에 의해서 부여된
권한과 의무
• 지방자치단체의 경우 조례에서 정하고 있는 업무 등
※ ‘불가피한 경우’란 개인정보를 제공하지 아니하고는 법령 등에서 해당 공공기관에 부여하고 있는
권한의 행사나 의무의 이행이 불가능하거나 다른 방법을 사용하여 소관 업무를 수행하는 것이
현저히 곤란한 경우를 의미하므로, 공공기관이 민원업무를 쉽게 해결하기 위하여 민원인의 개인
정보를 피민원인이나 피민원기관에 제공하는 것은 불가피한 필요가 있는 경우라고 보기 어려움.
╶ 급박한 생명·신체·재산상 이익을 위하여 필요한 경우
※ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를
받을 수 없는 경우로서 명백히 제3자의 급박한 생명·신체·재산상의 이익을 위하여 필요하다고
인정되어 개인정보를 수집하였다면 그 수집 목적 범위에서 정보주체의 동의 없이 개인정보를
제3자에게 제공할 수 있음.

※ 급박한 생명·신체·재산상 이익을 위하여 필요한 경우의 예시
• 동사무소나 경찰관서가 시급히 수술 등의 의료조치가 필요한 교통사고 환자의 연락처를
의료기관에 알려주는 행위
사례1 : 정보공개시스템 등에 이름만 공개해도 위법한지? (표준 해석례 14)
정보공개시스템 등을 통하여 공개된 정보목록에 개인의 성명만 기재되어 있는 경우 개인정보
보호법 위반으로 볼 수 있는지 궁금합니다.
답변 :「개인정보 보호법」제6조에 따라 개인정보 보호에 관하여 다른 법률에 특별한
규정이 있는 경우 다른 법률을 우선 적용합니다.
• 「공공기관의 정보공개에 관한 법률」 제9조 제1항 제6호에 따라 정보통신망을 활용한 정보
공개시스템 등에 직무를 수행하는 공무원의 성명이 기재되어 있는 경우 개인정보 보호법에
위배되지 않습니다.
• 민간의 경우에도 대표자 성명을 비롯한 임원진과 업무 담당자의 이름, 개인 연락처, 사진 등은
법인이나 단체에 관한 정보로서 공개할 경우 개인정보 보호법에 위배되지 않습니다.

사례2 : 졸업앨범에 교사의 사진을 동의받지 않고 넣어도 되는지? (표준 해석례 16)
학생들의 졸업앨범을 제작하려 합니다. 여기에는 교직원들의 사진과 연락처가 들어가는데 그렇다면
교직원의 개인정보가 포함된 만큼 동의를 받아야 하는 것 아닌지요?
답변 :「개인정보 보호법」제15조 제1항 제1호에 따라 정보주체로부터 동의를 받은 경우 개인정보를 수집·이용할 수 있습니다.
• 졸업앨범을 제작할 때 앨범에 수록될 교직원에게도 개인정보 수집·이용 동의를 받아야 합니다.

2. 개인정보의 목적 외 이용·제공
법률 제18조(개인정보의 목적 외 이용·제공 제한)
시행령 제15조(개인정보의 목적 외 이용 또는 제3자 제공의 관리)
표준지침 제8조(개인정보의 목적 외 이용·제공)
1) 개인정보의 목적 외 이용·제공 금지(제18조 제1항)
◈ 개인정보의 목적 외 이용·제공이란 정보주체에게 이용·제공의 목적을 고지하고 동의를 받은
범위나 법 또는 다른 법령에 의하여 이용·제공이 허용된 범위를 벗어나서 개인정보를 이용하거나
제공하는 것을 말함
☞ (설명) 개인정보의 목적 외 이용·제공은 정보주체의 별도의 동의 등 예외사유가 있는 경우를 제외하고는 원칙적으로 금지됨

※ 개인정보의 목적 외 ‘이용’ 예시
• 공무원들에게 업무용으로 발급한 이메일 계정 주소로 사전 동의절차 없이 교육 등 마케팅 홍보
자료를 발송한 경우
• 조세 담당 공무원이 자신과 채권·채무 관계로 소송 중인 사람에 관한 납세정보를 조회하여
소송에 이용한 경우
• 상품배송을 목적으로 수집한 개인정보를 사전에 동의 받지 않은 자사의 별도 상품·서비스의
홍보에 이용
• 고객 만족도 조사, 판촉행사, 경품행사에 응모하기 위하여 입력한 개인정보를 사전에 동의
받지 않고 자사의 할인판매행사 안내용 광고물 발송에 이용
• A/S센터에서 고객 불만 및 불편 사항을 처리하기 위해 수집한 개인정보를 자사의 신상품
광고에 이용
• 공개된 개인정보의 성격과 공개 취지 등에 비추어 그 공개된 목적을 넘어 DB마케팅을 위하여
수집한 후 이용하는 행위

※ 개인정보의 목적 외 ‘제공’의 예시
• 주민센터 복지카드 담당 공무원이 복지카드 신청자의 개인정보(홍보 마케팅 등으로 개인정보
제공을 동의하지 않은 경우)를 정보주체의 동의 없이 사설학습지 회사에 제공
• 홈쇼핑 회사가 주문 상품을 배달하기 위해 수집한 고객정보를 정보주체의 동의 없이 계열
콘도미니엄사에 제공하여 콘도미니엄 판매용 홍보자료 발송에 활용

2) 목적 외 이용·제공이 가능한 경우(제18조 제2항)
※ 유의사항
• 아래 예외사유가 있는 경우에도 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을
때에는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없음
• 이용자의 개인정보를 처리하는 정보통신서비스 제공자의 경우 [제1호 및 제2호]의 예외
사유만 적용됨
• 제5호부터 제9호까지의 사유는 개인정보처리자(목적 외 이용·제공자)가 공공기관인 경우에만
적용이 가능함

정보주체로부터 별도의 동의를 받은 경우(제18조 제2항 제1호)
╶ 개인정보를 목적 외로 이용·제공하기 위해서는 정보주체의 별도의 동의를 받아야 함
다른 법률에 특별한 규정이 있는 경우(제18조 제2항 제2호)
╶ ‘특별한 규정’은 ‘법률’로 한정되어 있으므로 법률의 위임 없이 시행령·시행규칙에만 관련
규정이 있는 경우에는 목적 외 이용·제공이 허용되지 않음.
╶ 또한 법률에서 개인정보의 목적 외 이용·제공을 구체적으로 허용하고 있어야 하며, ‘법령상
의무이행’과 같이 포괄적으로 규정된 경우에는 목적 외 이용·제공이 허용되지 않음.

※ 목적 외 이용·제공이 합리적으로 예견되는 경우
다만, 해당 법률에 목적 외 이용·제공되는 개인정보의 항목이 구체적으로 열거되어 있지 않더라도
당해 업무의 목적, 성격 등을 고려하였을 때 목적 외 이용·제공 대상에 개인정보가 포함될 것이
합리적으로 예견되는 경우에는 목적 외 이용·제공이 허용될 수 있음(보호위원회 결정 제2018
-14-133호 참고)

※ 목적 외 이용·제공이 규정된 ‘다른 법률의 특별한 규정’ 예시
• 소득세법 제170조에 따른 세무공무원의 조사, 질문
• 감사원법 제27조에 따른 감사원의 자료 요구
• 국가유공자 등 예우 및 지원에 관한 법률 제77조에 따른 국가보훈처장의 자료제공 요구
• 병역법 제81조 제2항에 따른 병무청장의 자료제공 요구
• 부패방지 및 국민권익위원회 설치와 운영에 관한 법률 제42조 제1항 및 제3항에 따른 국민
권익위원회의 자료제출 요청 등
• 질서행위위반규제법 제22조 제1항에 따른 관계인에 대한 자료제출 요구 및 참고인 진술 청취
• 국회법 제128조 제1항, 국정감사 및 조사에 관한 법률 제10조 제1항의 보고 또는 서류제출
요구
• 공공기관의 정보공개에 관한 법률 제5조 제1항에 의한 정보공개청구의 대상이 되는 정보(공공
기관이 보유·관리하는 정보)로서 동법 제9조 제1항 제6호 단서 각 목에 정한 비공개대상정보
제외사유에 해당하는 경우

급박한 생명·신체·재산상 이익을 위하여 필요한 경우(제18조 제2항 제3호)
╶ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전
동의를 받을 수 없는 경우로서 명백히 제3자의 급박한 생명·신체·재산상의 이익을 위하여
필요하다고 인정되는 경우에는 목적 외 이용·제공이 허용됨.

개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른
법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을
거친 경우(제18조 제2항 제5호)
╶ ‘공공기관’이 다른 법률에서 정하는 소관 업무를 수행하기 위하여 목적 외 이용 또는 제공이
불가피하게 필요한 경우, 보호위원회의 심의·의결을 거쳐 목적 외 이용 또는 제공이 가능함.
조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여
필요한 경우(제18조 제2항 제6호)
╶ 법률의 효력을 가지는 조약이나 국제협정에서 개인정보의 목적 외 이용 또는 제공을 규정하고
있다면, 이러한 조약 등의 이행을 위해서는 정보주체의 동의 없이도 개인정보를 목적 외 이용
또는 제공할 수 있음.

범죄 수사와 공소의 제기 및 유지를 위하여 필요한 경우(제18조 제2항 제7호)
╶ 공공기관 외의 개인정보처리자에 대해서는 비록 범죄 수사 목적이라 하더라도 원칙적으로
형사소송법 등의 규정에 따라서만 개인정보 제공을 요구할 수 있음. 따라서 원칙적으로 법원이
발부한 영장이 필요함.
╶ ‘공공기관’의 경우 수사기관이 범죄 수사, 공소 제기 및 유지를 위해서 필요하다고 요청하는
경우 해당 개인정보를 정보주체의 별도의 동의 없이 제공할 수 있음. 단, 영장에 의하지 않는
경우에는 피의자가 죄를 범하였다고 의심할 만한 정황이 있고 해당 사건과 관계가 있다고 인정
할 수 있는 경우에 한하여 극히 제한적으로 개인정보를 제공하여야 할 것이며, 범죄의 형태나
경중, 정보주체가 받을 불이익의 정도 등 제반 사정을 종합적으로 고려하여 개인정보 이용이
없이는 수사의 목적을 달성할 수 없는 경우에 한하여 극히 제한적으로 개인정보를 제공하여야
할 것임.
의결례
‘피내사자’의 개인정보 제공 가능 여부
내사는 범죄혐의의 유무를 확인하기 위하여 범죄 인지 전에 행해지는 수사기관 내부의 조사
활동으로서 수사와 구분되는 개념이기 때문에, 법 제18조 제2항 제7호에 원칙적으로 해당하지
않는다. 그러나 범죄의 수사를 위하여 피내사자의 개인정보 제공이 불가피하다면 법 제18조
제2항 제7호에 해당할 수 있으며, 이 경우 정보주체 또는 제3자의 이익을 부당하게 침해할
우려가 없어야 하고, 범죄의 수사 목적에 필요한 최소한의 범위 내에서 개인정보가 제공되어야
할 것이다(보호위원회 결정 제2016-07-15호).

법원의 재판업무 수행을 위하여 필요한 경우(제18조 제2항 제8호)
╶ 법원으로부터 보정명령, 자료제출명령 등이 있는 경우 공공기관이 보유하고 있는 개인정보를
정보주체의 동의 없이 목적 외로 이용 또는 제공하는 것이 가능함.
형 및 감호, 보호처분의 집행을 위하여 필요한 경우(제18조 제2항 제9호)
╶ 형, 보호·치료감호, 보호처분의 원활한 집행을 위하여 공공기관이 보유하고 있는 개인정보의
목적 외 이용 또는 제공을 허용하고 있음.

3) 목적 외 이용·제공시 동의의 방법(제18조 제3항)
당초 동의와 구분되는 별도의 동의를 받아야 함
╶ 목적 외 이용·제공 동의는 그 성질상 최초 동의에 포함될 수 없는 것이므로, 목적 외 이용·제공
사유 발생시 정보주체로부터 별도의 동의를 새롭게 받아야 함.

동의 획득시 고지사항
※ 목적 외 ‘이용’의 경우 고지사항
① 개인정보의 이용목적
② 이용하는 개인정보의 항목
③ 개인정보의 보유 및 이용기간
④ 동의거부권이 있다는 사실 및 동의거부에 따른 불이익에 관한 사항

※ 목적 외 ‘제공’의 경우 고지사항
① 개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)
② 제공받는 자의 이용목적
③ 제공하는 개인정보의 항목
④ 제공받는 자의 개인정보 보유 및 이용 기간
⑤ 동의거부권이 있다는 사실 및 동의거부에 따른 불이익

4) 목적 외 이용·제공의 공개(제18조 제4항)
공공기관이 개인정보를 목적 외로 이용하거나 제3자에게 제공하는 경우에는 목적 외
이용·제공을 한 날로부터 30일 이내에 목적 외 이용·제공의 법적 근거, 이용 또는
제공 일자·목적·항목에 관하여 관보 또는 인터넷 홈페이지에 게재하여야 함.
단, 정보주체의 동의를 받은 경우 또는 범죄수사와 공소제기 및 유지를 위해 개인
정보를 목적 외로 이용하거나 제공하는 경우에는 공개가 요구되지 아니함.

5) 목적 외 ‘제공’시의 보호조치(제18조 제5항)
개인정보처리자가 개인정보를 목적 외로 제3자에게 제공할 때에는 제공과 동시에
또는 필요한 경우 제공한 이후에 개인정보를 제공받는 자에게 이용 목적, 이용 방법,
이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한
구체적인 조치를 마련하도록 문서(전자문서를 포함)로 요청하여야 함.
이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 함(표준지침 제8조 제1항).

조 문
위반행위
벌칙수준
제71조 제2호
개인정보를 목적 외로 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공 받은 자 (제18조 제1항·제2항 위반)
5년 이하의 징역 /
5천만원 이하 벌금
제39조의15 제1항 제1호
개인정보를 목적 외로 이용하거나 제3자에게 제공한 정보통신 서비스 제공자등(제18조 제1항·제2항 위반)
위반행위 관련 매출액의
100분의 3 이하 과징금
제75조 제2항 제1호
정보주체에 대한 고지의무 위반(제18조 제3항 위반)
3천만원 이하 과태료

사례3 : 병원에서 환자 연락처를 약국에 제공해도 되는지? (표준 해석례 25)
약국에서 저희 병원 처방전을 제출한 환자분께 약을 잘못 조제한 사실을 뒤늦게 알았다며 급히
그 환자분 연락처를 물어보는데, 환자분 연락처를 약국에 알려줘도 되는 건가요?
답변 :「개인정보 보호법」 제17조 제4항에 따라 개인정보처리자는 당초 수집 목적과
합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등
안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는
바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있습니다.
• 병원에서 위 규정들에 따를 경우 환자의 동의 없이도 환자의 연락처 등 개인정보를 약국에
제공할 수 있으나, 사전에 위 고려사항에 대한 판단 기준을 개인정보 처리방침을 통해 공개
하여야 합니다(법 시행령 §14의2 ②).

사례4 공공기관 근무자의 소속, 성명, 내선번호를 공개해도 되는지? (표준 해석례 34)
공공기관의 조직도에 공개되는 공무원(계약직 포함)의 소속, 이름, 내선번호가 보호되어야 할 개인
정보인지 아니면 공개해도 무방한 정보인지 궁금합니다.
답변 : 「개인정보 보호법」제18조 제2항 제2호에 따라 법률의 특별한 규정이 있는 경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외 이용하거나 제3자에게 제공할 수 있습니다.
• 「공공기관의 정보공개에 관한 법률」 제9조 제1항 제6호에 따라 직무를 수행한 공무원의 성명·
직위, 공개하는 것이 공익을 위하여 필요한 경우로서 법령에 따라 국가 또는 지방자치단체가
업무의 일부를 위탁 또는 위촉한 개인의 성명·직업은 비공개정보에서 제외합니다.
• 따라서, 공공기관의 홈페이지 등에 공무원, 공공기관 근무자, 위원회 위원, 통리장 등의 성명을
공개할 수 있으며, 개인정보가 아닌 업무별 연락처(전화번호 또는 이메일)를 공개할 수
있습니다.
사례5 : ARS로 개인정보 수집·제공 동의를 받아도 되는지? (표준 해석례 48)
매장을 운영하면서 고객들에게 홍보 자료를 제공하고 포인트를 적립하여 제공하려고 합니다. 이를
위해 ARS를 통해 개인정보 수집·제공 동의를 받으려 하는데 가능한지요?

답변 :「개인정보 보호법」제22조에 따라 개인정보처리자가 정보주체의 개인정보 제공
동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지
할 수 있도록 알리고 각각 동의를 받아야 하며, 같은 법 시행령 제17조 제1항에 서면,
전화, 인터넷, 전자우편 등의 방법으로 개인정보 수집 동의를 받을 수 있습니다.
• 다만, 동의에 대한 입증책임은 개인정보처리자에게 있으므로 동의받은 내용을 기록·보관하여야
합니다.
• 그런데 전화로 동의를 받을 경우 전화를 건 사실만으로 동의했다는 것을 입증하기 어려우므로
특정 번호를 누르거나 동의내용을 음성녹음하는 방법으로 동의의 의사표현을 받을 것을
권장합니다.
사례6 : 코로나 19 확진자의 개인정보를 어느 정도까지 공개해도 되는지?(표준 해석례 8)
감염병 확진자와 관련하여, “○○시 #9번 확진자 ○○센터 ○○부장” 등 직함이나 소속기관을
포함한 정보를 공개하는 경우, 이 정보가 개인정보에 해당하는지, 또 그와 같은 공개가 가능한지
알고 싶습니다.
* ○○ 부분은 실제 행정지역명과 소속기관명이 들어갈 예정
답변 : 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을
통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수
없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됩니다(법 제2조
제1호).
• 일반적으로 행정구역, 소속기관명은 개인정보에 해당하지 않으나, ‘#4번 확진자, 직책 또는
직함’에 해당하는 정보와 결합하면 개인을 알아볼 수 있는 개인정보에 해당할 수 있습니다.
• 확진자에 대한 동선은 감염병 예방법에 따라 공개할 수 있으나, 이 경우에도 관련 규정 및
지침에 따른 최소한의 범위에서 공개가 가능합니다.

사례7 : 회사에서 순찰자 순찰정보 등을 공개된 장소에 게시해도 되는지?(표준 해석례 9)
방호직으로 근무하고 있는 사람입니다. 방호직의 특성상 근무중 순찰을 실시하는데 관리자가
공개적인 게시판에 순찰보고서라는 항목으로 해당근무자의 성명, 순찰포인트(순찰 위치), 누락
여부 등을 기재하여 게시하고 있습니다. 개인정보 보호법 위반이 아닌지요?
답변 :「개인정보 보호법」제2조 제1호가 규정하는 개인정보란 살아 있는 개인에 관한
정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며,
해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여
알아볼 수 있는 것을 포함합니다.
• 따라서, 법인 또는 단체의 이름(상호), 소재지 주소 및 전화번호, 업무별 연락처, 영업실적 등
전적으로 법인 또는 단체에 관한 정보는 개인정보에 해당하지 않습니다.
• 반면, 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호, 매출액 등 사업체 운영에
관한 정보는 원칙적으로 개인정보에 해당하지 않으나, 대표자 성명을 비롯한 임원진과 업무
담당자의 이름, 개인 연락처, 사진 등은 법인이나 단체에 관한 정보이면서 동시에 상황에 따라
개인정보로 취급될 수 있습니다.
• 결국, 회사 순찰근무자의 순찰 현황은 법인에 대한 정보이면서 개인정보로 취급될 수도 있어
내부 공개가 위법이라고 단정하기 어려우나 공개하는 경우 성명의 일부를 알아볼 수 없도록
처리함이 바람직합니다.
- 중앙방역대책본부의 2020. 10. 7.자「확진환자의 이동경로 등 정보공개 지침(1판)」은 성별,
연령, 국적, 거주지, 직장명 등 개인을 특정하는 정보를 공개하지 않음을 원칙으로 하고
(단, 직장명은 직장에서 불특정 다수에게 전파시켰을 우려가 있는 경우 공개할 수 있음),
① 개인별 이동경로 형태가 아닌 장소는 목록 형태로 공개하며 ② 해당 공간 내 모든 접촉자가
파악된 경우 장소를 공개하지 않는 것으로 정하고 있습니다.

사례8 : 관리사무소 소장 전화번호를 제3자에게 제공하면 위법한지?(표준 해석례 70)
아파트 관리사무소장입니다. 입주민 한 분이 개인적으로 본인의 개인 휴대전화번호를 물어봐서
알려줬더니 촤근 다수의 입주민들이 저의 개인 휴대전화로 민원을 제기하여 많은 불편을 겪고
있습니다. 위 입주민이 저의 개인 휴대전화번호를 동의 없이 제3자에게 공개했을 때 개인정보
보호법 위반에 해당되는지요?
답변 :「개인정보 보호법」제18조 제2항 제1호에 따라 정보주체로부터 동의를 받은 경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외 이용하거나 제3자에게 제공할 수 있습니다.
• 아파트 관리소장의 개인정보(휴대전화번호)를 사적으로 제공받아 제3자에게 제공하면 사인
(私人)의 행위로서 처벌 규정이 없습니다.
• 그러나 휴대전화 번호를 아파트 관리사무소에서 공식적으로 제공받은 경우 제3자에게
알려주면 법 제19조 위반에 해당될 수 있습니다.
- 참고로, 공동주택과 관련한 개인정보처리자인 관리사무소, 입주자대표회의, 선거관리위원회
소속 개인정보취급자(직원, 수탁자, 입주자대표, 선거관리위원)가 업무로 알게 된 관리
소장의 휴대전화 번호를 권한없는 제3자에 제공한 경우 제59조 제2호 위반에 해당합니다.

3. 개인정보 처리 업무의 위탁
법률 제26조(업무위탁에 따른 개인정보의 처리 제한)
시행령 제28조(개인정보의 처리 업무 위탁 시 조치)
표준지침 제16조(수탁자의 선정 시 고려사항), 제17조(개인정보 보호 조치의무)

1) 업무위탁에 따른 개인정보의 처리 제한(제26조)
◈ ‘개인정보 처리 업무의 위탁’이란 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의
업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미함
☞ (설명) 업무위탁과 개인정보 제3자 제공 모두 개인정보가 다른 사람에게 이전하거나 다른 사람과
공유하게 되지만, 업무위탁의 경우에는 업무위탁자인 개인정보처리자의 이익을 위하여 그 업무처리
범위 내에서 개인정보 처리가 행해지고 위탁자인 개인정보처리자의 관리·감독을 받지만, 제3자
제공은 제3자의 이익을 위해서 개인정보 처리가 행해지고 제3자가 자신의 책임 하에 개인정보를
처리하게 된다는 점에서 차이가 있음

[업무위탁과 제3자 제공의 비교]

구분
업무위탁
제3자 제공
관련조항
제26조
제17조
예시
배송업무 위탁, TM 위탁 등
사업제휴, 개인정보 판매
이전목적
위탁자의 이익을 위해 처리 (수탁업무 처리)
제3자의 이익을 위해 처리
예측 가능성
정보주체가 사전 예측 가능
(정보주체의 신뢰 범위 내)
정보주체가 사전 예측 곤란
(정보주체의 신뢰 범위 밖)
이전방법
원칙: 위탁사실 공개
예외: 위탁사실 고지(마케팅 업무 위탁)
원칙: 제공목적 등 고지 후 정보주체
동의 획득
관리·감독책임
위탁자 책임
제공받는 자 책임
손해배상책임
위탁자 부담(사용자 책임)
제공받는 자 부담

출처: 개인정보 보호법 해설서

2) 업무위탁의 유형
개인정보 ‘처리’ 업무 위탁
╶ 개인정보의 수집·관리업무 그 자체를 위탁하는 경우
개인정보 ‘취급’ 업무 위탁
╶ 개인정보의 이용·제공이 수반되는 일반업무를 위탁하는 경우
╶ 이는 다시 홍보·판매권유 등 마케팅업무의 위탁과 상품배달·애프터서비스 등 계약이행업무의
위탁으로 구분될 수 있음.

3) 업무위탁의 절차·방법
위탁 목적 등의 문서화
╶ 업무위탁시 법적 구속력이 있는 계약서 또는 그와 동일한 효력이 있는 문서에 의하여야 하며,
다음의 내용이 포함되어야 함.

※ 계약서 등 문서에 포함되어야 할 사항
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 위탁업무의 목적 및 범위
4. 재위탁 제한에 관한 사항
5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

위탁업무 내용 등의 공개
╶ 위탁자는 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 자신의 인터넷 홈페이지에 지속적으로 게재하는 방법으로 공개하여야 하며(영 제28조 제2항), 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 공개하여야 함(영 제28조 제3항).

※ 위탁업무 등의 공개방법
1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시·도 이상의
지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조 제1호 가목·다목 및
같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는
청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게
발급하는 방법

4) 마케팅(홍보, 판매권유 등) 업무 위탁시 정보주체에 대한 통지
정보주체에 대한 통지의무
╶ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면,
전자우편, 모사전송, 전화, 문자전송 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과
수탁자를 정보주체에게 알려야 하며(영 제28조 제4항), 위탁하는 업무의 내용이나 수탁자가
변경된 경우에도 통지해야 함.

인터넷 홈페이지 등에 게재할 수 있는 경우
╶ 위탁자가 과실 없이 서면, 전자우편 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보
주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 함.
다만, 인터넷 홈페이지를 운영하지 않는 위탁자의 경우에는 사업장등의 보기 쉬운 장소에 30일
이상 게시하여야 함.

5) 수탁자 선정시 고려하여야 할 사항
※ 수탁자 선정시의 고려사항(표준지침 제16조)
1. 수탁자의 인력
2. 수탁자의 물적 시설
3. 수탁자의 재정 부담능력
4. 수탁자의 기술 보유의 정도
5. 수탁자의 책임능력 등 수탁자의 개인정보 처리 및 보호역량

6) 업무위탁자의 책임과 의무
수탁자에 대한 교육 및 감독의무
╶ 위탁자는 업무 위탁으로 인하여 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록
수탁자를 교육하고, 수탁자를 감독하여야 하며, 수탁자가 법령 및 위·수탁 계약에 따라 준수하여야
할 사항의 준수 여부를 확인·점검하여야 함.

수탁자의 불법행위로 인한 위탁자의 손해배상책임
╶ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 보호법을 위반하여 발생한
손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 보게 되며, 따라서 개인
정보처리자는 수탁자가 발생시킨 손해에 대하여 민법상의 사용자책임(대위책임)을 부담함.
단, 만약 위탁자가 수탁자의 과실로 인하여 정보주체에게 손해배상을 한 때에는 수탁자에게
구상권을 행사할 수 있음.

7) 업무수탁자의 책임과 의무
위탁받은 업무 목적 외 개인정보 이용·제공 금지
╶ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나
제3자에게 제공하여서는 아니 됨.

※ 금지되는 경우의 예시
개인정보처리자로부터 개인정보의 처리를 위탁받은 이후, 위탁 업무와 별개로 수탁자의 목적으로
마케팅 등을 하는 행위는 금지됨

개인정보처리자의 의무 등 준용
╶ 수탁자도 보호법의 적용대상인 개인정보처리자에 해당되며, 수탁자의 법규 준수의무를 이를
명확하게 하기 위하여 별도의 조문으로 보호법 제15조부터 제25조까지, 제27조부터 제31조
까지, 제33조부터 제38조까지 및 제59조의 규정을 준용하도록 명시함. 다만, 수탁자가 정보
통신서비스 제공자등으로부터 개인정보 처리 업무를 위탁 받은 경우에는 그 위탁받은 업무 범위
내에서는 정보통신서비스 제공자등에 관한 특례규정(제6장)을 준수하여야 함.

※ 개인정보 처리 업무의 수탁자에 관한 조치의무(표준지침 제17조)
개인정보 처리 업무를 위탁받아 처리하는 수탁자는 개인정보를 보호하기 위하여 “개인정보의
안전성 확보조치 기준 고시”가 정하고 있는 기술적·물리적·관리적 조치를 하여야 함

조 문
위반행위
벌칙수준
제75조 제4항 제5호
위탁하는 업무의 내용과 수탁자를 공개하지 아니한 자(제26조 제2항 위반)
1천만원 이하 과태료
제75조 제2항 제1호
업무위탁에 따른 개인정보 제공을 알리지 아니한 자
3천만원 이하 과태료
제39조의15 제1항 제4호
수탁자 관리·감독을 소홀히 하여 수탁자가 「개인정보 보호법」을 위반한 경우(제26조 제4항 관련)
위반행위 관련 매출액의 100분의 3이하 과징금

 

사례9 : 간편결제사에 고객의 결제를 맡기면 위수탁에 해당하는지?(표준 해석례 64)
당사의 결제방식은 이용자가 간편결제 서비스사에 별도 가입 후 등록한 카드 또는 선불결제한
포인트로 결제처리를 하고 있습니다. 이 과정에서 당사가 간편결제 서비스사에게 제공하는 고객
정보는 ID와 결제상품정보이며, 결제처리 결과만 통보받습니다. 이 경우 개인정보 처리 위수탁
관계로 보아 개인정보처리 위탁계약 및 위탁자의 관리·감독이 필요한지요?
답변 : 「개인정보 보호법」제26조에 따라 개인정보 처리업무를 위탁하는 경우 제1항
각호의 내용이 포함된 문서에 의하고, 정보주체가 언제든지 확인할 수 있도록
공개해야 하며, 위탁자는 수탁자가 개인정보를 안전하게 관리하도록 지도 감독하는
등 위탁에 따른 의무를 준수하여야 합니다.
• ‘업무위탁’과 개인정보‘제3자 제공’모두 개인정보가 다른 사람에게 이전하거나 다른 사람과
공동으로 이용하게 되지만, 업무위탁은 개인정보처리자의 업무처리 범위 내에서 개인정보 처리가 행해지고 수탁자가 위탁자인 개인정보처리자의 관리·감독을 받으며, 제3자 제공은 제3자의 이익을 위해서 개인정보 처리가 행해지고 제3자가 자신의 책임 하에 개인정보를 처리하게 됩니다.
- 예를 들면, 업무위탁은 전자투표 대행, 회계처리 대행, 간편결제 대행 등 위탁자의 업무를
대행하고 보수를 받는 형태이고, 제3자 제공은 제휴사 복지포인트를 매개로 카드운영, 제휴사
포인트로 쇼핑몰 판매 등 제휴자의 업무처리를 매개로 제3자의 이익을 도모하는 형태입니다.

사례10 : 개인정보 처리 수탁자를 개인정보 처리방침에 공개해야 하는지?(표준 해석례 63)
개인정보 보호법에는 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는
방법으로 공개를 하라고 되어 있는데, 개인정보 처리방침에 관련 내용을 포함해서 공개하면
되는지요?
답변 : 법 제26조 제2항, 법 시행령 제28조 제2항은 개인정보의 처리 업무를 위탁하는
개인정보처리자는 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든지 쉽게
확인할 수 있도록 인터넷 홈페이지를 통하여 지속적으로 게재하도록 규정하고
있습니다. 또한 법 제30조 제1항 제4호는 개인정보처리의 위탁에 관한 사항을
개인정보 처리방침에 기재하고, 법 시행령 제31조 제2항은 개인정보 처리방침을
개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하도록 규정하고 있습니다.
• 따라서 개인정보처리의 위수탁에 관한 사항을 개인정보 처리방침에 기재하여 인터넷 홈페이지를
통하여 공개할 수 있습니다.
• 다만 법 시행령 제31조 제2항에 개인정보 처리방침을 인터넷 홈페이지에 ‘지속적으로’ 게재
하도록 하였으므로 수탁자 변경사항을 지속적으로 업데이트하여야 합니다.
사례11 : 산업안전보건법의 직무교육 기관은 수탁사에 해당하는지?(표준 해석례 65)
산업안전보건법상 사업주가 안전보건관리책임자 등에 대해 직무교육을 실시하도록 되어 있고,
교육기관에 수강신청서를 제출하도록 되어 있습니다. 이 경우 해당 교육을 진행하는 안전보건
교육기관(예: 대한산업안전협회)은 개인정보 처리 수탁사에 해당하는지요?
답변 : ‘업무위탁’과 개인정보‘제3자 제공’ 모두 개인정보가 다른 사람에게 이전하거나
다른 사람과 공동으로 이용하게 되지만, 업무위탁은 개인정보처리자의 업무처리
범위 내에서 개인정보 처리가 행해지고 수탁자가 위탁자인 개인정보처리자의 관리·
감독을 받으며, 제3자 제공은 제3자의 이익을 위해서 개인정보 처리가 행해지고
제3자가 자신의 책임 하에 개인정보를 처리하게 됩니다.
• 산업안전보건법에 따른 법정 위탁교육을 위해 개인정보처리자가 보유한 개인정보를 직무
교육 기관이 처리하도록 위탁할 수 있으며, 이 경우 위·수탁자 모두 법 제26조를 준수하여야
합니다.

4. 영업의 양도 등(79쪽)
법률 제27조(영업양도 등에 따른 개인정보의 이전 제한)
시행령 제29조(영업양도 등에 따른 개인정보 이전의 통지)
표준지침 -

1) 영업양도·양수, 합병 등에 따른 개인정보의 이전 제한(제27조)
◈ 영업양도, 합병 등으로 영업자산을 다른 사업자에게 이전할 때에는 기존 사업자가 가지고 있던
개인정보DB 등에 관한 권리·의무도 포괄적으로 다른 사업자에게 승계됨. 따라서 법은 정보
주체가 회원탈퇴, 동의철회 등의 권리를 행사할 수 있는 기회를 미리 부여하기 위한 통지의무
등을 규정함
☞ (설명) 영업의 양도·합병은 비록 개인정보가 제3자에게 이전된다는 점에서는 ‘제공’과 유사함.
그러나 영업의 양도·합병은 그 개인정보를 이용한 업무의 형태는 변하지 않고 단지 개인정보의 관리
주체만 변한다는 점에서 ‘제공’과는 차이가 있음. 그에 따라 영업의 양도·합병에 대해서는 제27조
에서 별도의 규정을 두고 있으며, 제공과 관련한 규정은 적용되지 않음
74∣
적용대상이 되는 영업양도·양수, 합병 등
╶ 영업의 전부 또는 일부의 양도, 합병, 회사의 분할 및 분할합병의 경우 적용됨
2) 통지의무 부담자
영업의 전부 또는 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 개인
정보처리자
╶ 미리 해당 정보주체에게 그 사실을 통지해야 함(제27조 제1항, 영 제29조 제1항)
영업양도·합병 등으로 개인정보를 이전받는 자
╶ 영업양도·합병 등으로 개인정보를 이전받는 자는 개인정보를 이전받았을 때에는 지체 없이
그 사실을 정보주체에게 통지해야 함
╶ 다만, 개인정보를 이전하는 개인정보처리자가 정보주체에게 그 이전 사실을 이미 알린 경우에는
통지의무가 없음

3) 영업양도·양수, 합병 등의 통지 방법 - 80
통지 수단
╶ 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법을 이용한 개별적 통지 방법
※ 예외
1. 영업양도자등이 과실 없이 서면등의 방법으로 제27조 제1항 각 호의 사항을 정보주체에게
알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 함(영 제29조
제2항 본문)
2. 인터넷 홈페이지에 게재할 수 없는 정당한 사유가 있는 경우에는 사업장등의 보기 쉬운
장소에 30일 이상 게시하는 방법, 일반일간신문·일반주간신문 및 인터넷신문에 싣는 방법 중
하나 이상의 방법으로 정보주체에게 알려야 함(영 제29조 제2항 단서)
Ⅲ. 개인정보의 제공∣75
통지사항(제27조 제1항)
※ 영업양도·양수, 합병시 통지사항
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자(영업양수자등)의 성명(법인의 경우에는 법인의 명칭을 말한다),
주소, 전화번호 및 그 밖의 연락처
3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
통지 시기
╶ 개인정보를 이전하기 전에 미리 통지하여야 함 → 실제 개인정보 DB가 이전되는 시점이 아닌
합병 등 계약체결 시점에 통지하여야 함
╶ 영업양수자등이 정보주체에게 개인정보의 이전사실 등을 통지할 때에는 개인정보를 이전받은
후 지체 없이 통지하여야 함

※ 예외
1. 영업양도자등이 과실 없이 서면등의 방법으로 제27조 제1항 각 호의 사항을 정보주체에게
알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 함(영 제29조
제2항 본문)
2. 인터넷 홈페이지에 게재할 수 없는 정당한 사유가 있는 경우에는 사업장등의 보기 쉬운
장소에 30일 이상 게시하는 방법, 일반일간신문·일반주간신문 및 인터넷신문에 싣는 방법 중
하나 이상의 방법으로 정보주체에게 알려야 함(영 제29조 제2항 단서)

조 문
위반행위
벌칙수준
제75조 제4항 제6호
영업양도 등에 따른 개인정보 이전사실 미통지(제27조 제1항 또는 제2항 위반)
1천만원 이하 과태료
제71조 제2호
이전 당시의 본래 목적 외로 개인정보를 이용하거나 제3자에게 제공 또는 그 사실을 알면서 영리 또는 부정한 목적으로 개인정보를 제공받은 자(제27조 제3항 위반)
5년 이하 징역 /
5천만원 이하 벌금

76∣
사례12 : 병원을 영업양도하면서 고객정보를 넘길 때 고지해야 하는지?(표준 해석례 66)
제가 운영하는 피부클리닉 병원을 다른 분께 영업양도하면서 기존 고객 정보를 넘겨드리려고
하는데 이를 고객에게 고지해야 하는지요?
답변 : 법 제27조 제1항에 개인정보처리자는 영업의 전부 또는 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 경우 정보주체에게 서면, 전자우편, 팩스,
전화, 문자전송 또는 이에 상당하는 방법을 이용하여 개별적으로 알리도록 하고,
알릴 수 없는 경우 인터넷 홈페이지에 30일 이상 게재하도록 규정하고 있습니다.
• 따라서, 의료기관 영업양수도 계약시점에 이를 미리 정보주체에게 서면, 전자우편, 팩스,
전화, 문자전송 또는 이에 상당하는 방법을 이용하여 개별적으로 알려야 합니다.

5. 개인정보의 국외 제공 - 82
법률 제17조(개인정보의 제공)
제18조(개인정보의 목적 외 이용·제공 제한)
제39조의12(국외 이전 개인정보의 보호)
시행령 제48조의10(개인정보 국외 이전 시 보호조치)
표준지침 -

1) 개인정보 국외 제공이 가능한 경우(제17조 제3항)
원칙적으로 정보주체의 동의 획득 필요(제3항 전단)
╶ 개인정보처리자가 개인정보를 국외의 제3자에게 ‘제공’하고자 할 때에는 ① 개인정보를 제공
받는 자의 성명(법인 또는 단체인 경우에는 그 명칭), ② 제공받는 자의 개인정보 이용 목적,
Ⅲ. 개인정보의 제공∣77
③ 제공하는 개인정보의 항목, ④ 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의 거부권이
존재한다는 사실 및 동의 거부에 따른 불이익의 내용(불이익이 있는 경우에 한함)을 모두 정보
주체에게 알리고 동의를 받아야 함
※ 위 고지 항목은 일반적인 제3자 제공의 경우와 같음

목적 외 제공 가능 여부
╶ 개인정보처리자는 동의 받은 범위를 초과하여 국외 제3자에게 제공하여서는 아니 됨(제18조
제1항)
╶ 그러나 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,
재산의 이익을 위하여 필요하다고 인정되는 경우 등 보호법 제18조 제2항 각 호의 어느 하나에
해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는
동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음
※ 다만, 공공기관은 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기
위하여 필요한 경우 등 보호법 제18조 제2항 제5호부터 제9호까지의 경우에 해당하는 경우에만
동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음.
정보통신서비스 제공자등에 관한 특칙
╶ 정보통신서비스 제공자등이 국외 제3자 제공을 포함하여 개인정보를 국외로 이전하는 경우에는
제17조 제3항이 아닌 제39조의12에 따라 동의를 받아야 하며, 보호조치를 하여야 함.
※ ‘제공’뿐만 아니라 ‘처리위탁’, ‘보관’ 등의 경우에도 동의를 받아야 하는 점에 유의
╶ 단, ‘처리위탁·보관’의 경우에는 동의 획득을 위한 의무 고지사항 모두를 개인정보 처리
방침을 통해 공개하거나 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법에 따라
이용자에게 알렸다면, 개인정보 처리위탁·보관에 따른 동의절차를 거치지 아니할 수 있음
▶ 정보통신서비스 제공자등의 개인정보 국외이전시 이용자 동의 획득을 위한 의무 고지사항
① 이전되는 개인정보 항목 ② 개인정보가 이전되는 국가, 이전일시 및 이전방법 ③ 개인정보를
이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다) ④ 개인
정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
▶ 정보통신서비스 제공자등의 개인정보 국외이전시 의무 보호조치(시행령 제48조의10)
① 개인정보 보호를 위한 안전성 확보 조치(제48조의1 제1항에 따름) ② 개인정보 침해에
78∣
2) 개인정보 국외 이전(제17조 제3항 후단)
◈ 개인정보 국외 ‘이전’은 국외의 제3자에게 개인정보를 제공하는 것은 물론이고, 개인정보
처리를 국외의 제3자에게 위탁하기 위해 국외로 전송하는 경우 등도 포함하므로 국외 ‘제공’
보다 개념이 넓음
☞ 개인정보 보호법은 개인정보를 국외에 이전하여 법의 적용을 회피하려는 것을 막기 위하여 일정한
제한을 두고 있음
개인정보 보호법을 위반하는 내용의 계약 체결 금지
╶ 개인정보처리자는 개인정보 보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을
체결하여서는 아니 됨.
╶ 위탁의 경우 정보통신서비스 제공자등이 아닌 한 원칙적으로 정보주체의 동의를 받을 필요는
없지만, 처리위탁에 관한 규정(제26조)에 따라 계약서 등 문서 작성, 위탁 관련 사항의 공개 등을
준수하여야 함

위반행위
벌칙
정보통신서비스 제공자등으로서 이용자의
동의를 받지 아니하고 이용자의 개인정보를
국외에 제공한 경우
(제39조의12 제2항 본문 위반)
위반행위 관련 매출액의 100분의 3 이하 과징금
(제39조의15 제1항 제1호)
정보통신서비스 제공자등으로서 의무사항
모두를 공개하거나 이용자에게 알리지 아니하고
이용자의 개인정보를 국외에 처리위탁·보관한
경우(제39조의12 제2항 단서 위반)
2천만원 이하 과태료
(제75조 제3항 제호)

6. 개인정보를 제공받은 자의 이용·제공
법률 제19조(개인정보를 제공받은 자의 이용·제공 제한)
시행령 -
표준지침 -

◈ 여기서 말하는 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 개인정보처리업무를 위탁
받은 자(수탁자)는 포함되지 않음.
☞ 본 규정은 개인정보처리자로부터 개인정보를 ‘제공’받은 자의 이용·제공(재제공)을 제한하여 개인
정보를 보호함. 개인정보처리자로부터 개인정보를 제공받은 자가 그 개인정보를 목적 외로 이용하거나
제공하는 경우에는 제18조가 적용되지 않고 제19조가 적용됨.

1) 개인정보를 제공받은 자의 목적 외 이용·제공 금지(제19조)
개인정보를 제공받은 자의 목적 외 이용·제공(재제공) 금지 원칙
╶ 개인정보를 제공받은 자는 해당 개인정보를 제공하거나 제공받은 목적과 다른 용도로 이용하거나 제3자에게 제공하여서는 아니 됨.
╶ 단, 제공받은 목적 내의 이용·제공은 보호법 제17조 제1항 제2호에 따라 허용됨.
※ 따라서 개인정보를 제공받은 자는 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여
불가피한 경우, 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 등 법
제17조 제1항 제2호의 사유가 있는 경우 수집한 정보를 해당 수집 목적의 범위 내에서 정보주체의
동의 없이도 제3자에게 제공할 수 있음

2) 목적 외 이용·제공이 예외적으로 가능한 경우
정보주체로부터의 별도의 동의 또는 다른 법률의 특별한 규정이 있는 경우
╶ 개인정보처리자로부터 개인정보를 제공받은 자는 제19조 각 호에 따라 정보주체로부터 별도의
동의를 받았거나 다른 법률에 특별한 규정이 있는 경우에는 예외적으로 개인정보를 제공받은 목적 외의 용도로 이용하거나 수집·이용 목적 범위를 벗어나 이를 제3자에게 제공할 수 있음.
※ 「신용정보의 이용 및 보호에 관한 법률」 등 다른 법률에서는 ‘개인정보를 제공받은 자의 이용·
제공 제한’과 관련한 규정을 두고 있지 않음. 따라서 ‘신용정보이용·제공자 등’은 개인정보 보호법에
따라 개인정보처리자로부터 개인정보를 제공받은 경우, 정보주체로부터 별도의 동의를 받은
경우, 또는 다른 법률에 특별한 규정이 있는 경우가 아닌 한 개인정보를 제공받은 목적 외의 용도로
이용하거나 이를 제3자에게 제공하여서는 아니 됨

조 문
위반행위
벌칙수준
제71조 제2호
제공받은 개인정보를 목적 외로 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인 정보를 제공받은 자(제19조 위반)
5년이하 징역 /
5천만원 이하 벌금
제39조의15 제1항 제1호
제공받은 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공한 정보통신서비스 제공자등(제19조 위반)
위반행위 관련
매출액의 100분의
3 이하 과징금

 

개인정보의 파기
1. 개인정보의 파기
2. 파기의무 예외
3. 법령상 보관 의무 있는 개인정보의 보존방법

Ⅳ ?개인정보의 파기
법률 제21조(개인정보의 파기)
시행령 제16조(개인정보의 파기방법)
표준지침
제10조(개인정보의 파기방법 및 절차)
제11조(법령에 따른 개인정보의 보존)
고시
개인정보 안전성 확보조치 기준
제13조(개인정보의 파기)
◈ 파기란 개인정보를 복원이 불가능한 방법으로 영구 삭제, 파쇄 또는 소각하는 등 복구 또는
재생되지 않도록 하는 일체의 행위를 말함
☞ (설명) 개인정보의 “파기”란 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요
하게 되었을 때 지체 없이 그 개인정보를 복원이 불가능한 방법으로 영구 삭제, 파쇄 또는 소각하여
복구 또는 재생되지 아니하도록 조치하는 것을 말함
◈ 다른 법령에 따라 보존하여야 하는 경우
☞ (설명) 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는 해당 법령에 따른 기간 동안
보존하여야 하며, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존하여야 함

1. 개인정보의 파기(제21조)
개인정보가 불필요하게 되었을 때(제1항)
╶ 개인정보 처리 목적 달성, 해당 서비스 폐지, 사업 종료 등 정당한 사유가 없는 한 필요 없게 된 날로부터 근무일 기준 5일 이내 개인정보 파기(표준지침 제10조 제1항)
╶ 개인정보의 보존 필요성이 있는지는 객관적으로 판단하여야 하며 자의적으로 해석해서는
안 됨
※ 개인정보가 불필요하게 되었을 때 사례
․ 개인정보처리자가 당초 고지하고 동의를 받았던 보유기간의 경과
․ 동의를 받거나 법령 등에서 인정된 수집·이용·제공 목적의 달성
․ 회원탈퇴, 제명, 계약관계 종료, 동의철회 등에 따른 개인정보처리의 법적 근거 소멸
․ 개인정보처리자의 폐업·청산
․ 대금 완전 변제일이나 채권 소멸시효 완성일

의결례
인정보 파기 관련 법령 해석 요청 건
구 정보통신망법 제29제1항(현 「개인정보 보호법」 제21조 제1항)에 따라 정보통신서비스
제공자등은 개인정보 수집·이용 목적을 달성한 경우, 개인정보의 보유 및 이용기간이 끝난
경우, 사업을 폐업하는 경우 등에는 해당 개인정보를 지체 없이 파기하도록 하면서, 같은 항의
단서에서 “다른 법률에 따라 개인정보를 보존하여야 하는 경우”에는 그 예외를 인정하고 있습니다.
그러나 구 정보통신망법 및 현 「개인정보 보호법」의 목적 및 취지 등을 고려할 때, 위 단서
조항의 “다른 법률”에 해당하기 위해서는 해당 법률 규정(위임 규정 포함)이 개인정보의 보존에
관하여 구체적·명시적으로 규정하고 있어야 할 것입니다(구 위원회 결정 제2014-25-29호).

복구 또는 재생되지 않도록 파기(제2항)
╶ 전자기적으로 기록된 개인정보는 사회 통념상 현재의 기술 수준에서 적절한 비용이 소요되는
‘복원이 불가능한 방법’을 적용함(표준지침 제10조 제2항)
╶ 전자기적으로 기록된 개인정보는 전용 소자장비로 삭제 또는 덮어쓰기 등 복원이 불가능한
86∣
기술적 방법으로 삭제하거나 매체를 파괴하여 복구할 수 없도록 함(시행령 제16조 제1항 제1호,
안전성 확보조치 기준 제13조 제1항)
╶ 기록물, 인쇄물, 서면 등 기록매체는 물리적으로 파쇄하거나 소각함(시행령 제16조 제1항
제2호, 안전성 확보조치 기준 제13조 제1항)

※ 개인정보 파기 방법 예시
․ 완전파괴(소각·파쇄 등)
(예시) 개인정보가 저장된 회원가입신청서 등의 종이문서, 하드디스크나 자기테이프를 파쇄기로
파기하거나 용해, 또는 소각장, 소각로에서 태워서 파기 등
․ 전용 소자장비 이용 삭제
(예시) 디가우저(Degausser)를 이용해 하드디스크나 자기테이프에 저장된 개인정보 삭제 등
․ 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
(예시) 완전 삭제 전용 소프트웨어를 사용하여 개인정보가 저장된 하드디스크에 대해 완전 포맷
(3회 이상 권고), 데이터 영역에 무작위 값(0, 1 등)으로 덮어쓰기(3회 이상 권고), 해당 드라이브를
안전한 알고리즘 및 키 길이로 암호화 저장 후 삭제하고 암호화에 사용된 키 완전 폐기 및 무작위
값 덮어쓰기 등
╶ 보유기간이 경과한 일부 개인정보가 전자적 파일인 경우 파기대상 개인정보 삭제 후 해당 정보가 복구 및 재생되지 않도록 관리감독하고, 기록물 등은 해당 부분을 마스킹, 천공 등으로 삭제 (안전성 확보조치 기준 제13조 제2항)
※ 개인정보 일부 파기 사례
․ 개인정보가 포함된 여러 파일 중, 특정 파일을 파기하는 경우
․ 개인정보가 저장된 백업용 디스크나 테이프에서 보유기간이 만료된 특정 파일이나 특정 정보
주체의 개인정보만 파기하는 경우
․ 운영 중인 데이터베이스에서 탈퇴한 특정 회원의 개인정보를 파기하는 경우
․ 회원가입신청서 종이문서에 기록된 정보 중, 특정 필드의 정보를 파기하는 경우 등
파기절차(제4항)
╶ 개인정보처리자는 개인정보 파기 사항을 기록 관리하고 개인정보 보호책임자 책임하에 파기하고 그 결과를 확인함(표준지침 제10조 제4항)
Ⅳ. 개인정보의 파기∣87

2. 파기의무 예외(제21조 제1항 단서)
개인정보처리자는 ‘다른 법령에 따라 보존해야 하는 경우’에는 예외적으로 개인
정보를 보존해야 하며, 법적 근거를 명확히 해야 함

보유기간 대상 개인정보파일
영구
1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일
2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구 보존이 필요한 개인정보파일
준영구
1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일
2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일

30년
1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정상의 책임
또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
10년
1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정상의 책임
또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
5년
1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상의 책임
또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
3년
1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할
필요가 있는 개인정보파일
2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임
또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유
기간이 별도로 규정된 경우 해당 법령에 따름)
1년 1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일
[개인정보파일 보유기간 책정 기준표(표준 개인정보 보호지침 별표 1호)]
88∣
※ 개인정보 파일별 보유기간 규정된 개별 법령 예시
법령 및 조문 보유대상 및 기간
• 가축전염병 예방법 제17조의2(출입기록의 작성·보존 등) • 같은 법 시행규칙 제20조의2(출입기록의
작성·보존 등)
- 출입기록 보존기간 : 1년
• 검찰보존사무규칙 제8조(보존기간)
- 재판확정사건기록 : 시효 완성시
- 구류 또는 과료 : 3년
- 사형 무기징역, 금고형 : 영구
- 10년 이상 유기징역, 금고형 : 영구
- 10년 미만 유기징역, 금고형 : 준영구
• 결혼중개업의 관리에 관한 법률 제10조의4 (기록보존) • 같은 법 시행규칙 제9조(결혼중개계약서 등의 기록보존)
- 결혼중개계약서, 국제결혼 개인신상정보 확인서 등 : 5년
• 공연법 제15조의3(장부 및 서류의 보존·관리) • 같은 법 시행규칙 제6조의12(장부 및 서류의
보존관리)
- 실무경력인정서발급대장·자격검정합격자명부 : 영구
- 그 밖의 인정 및 검정관련 장부 및 서류 : 5년
• 공직자 등의 병역사항 신고 및 공개에 관한
법률 제14조(자료의 보존기간) • 같은 법 시행령 제18조(자료의 보존기간)
- 병역사항 신고서 또는 병역사항 변동신고서 : 10년
- 병적증명서 또는 복무확인서 : 10년
- 제1호 및 제2호 외의 제출자료 : 5년
• 국민건강보험법 제96조의3(서류의 보존) • 같은 법 시행규칙 제58조(서류의 보존)
- 요양급여비용 청구에 관한 서류 : 5년
- 처방전, 건강보험, 요양비 청구, 보험급여 청구에 관한 서류 : 3년
• 국세기본법 제85조의3(장부 등의 비치와 보존) - 장부 및 증거서류 : 5년
• 근로기준법 제42조(계약 서류의 보존) - 근로자 명부, 근로계약에 관한 중요한 서류 : 3년
• 남녀고용평등과 일·가정 양립 지원에 관한
법률 제33조(관계 서류의 보존) • 같은 법 시행령 제19조(보존서류의 종류)
- 모집과 채용, 임금, 임금 외의 금품 등, 교육·배치 및 승진, 정년·퇴직 및 해고, 성희롱 예방교육 확인, 성희롱 행위자 징계 등 조치, 배우자 출산휴가의 청구 및 허용, 육아휴직의 신청 및 허용, 육아기
근로시간 단축 신청 및 허용 등 : 3년
• 농약관리법 제23조의2(판매·구매 정보의 기록 및 보존 등) • 같은 법 시행규칙 제24조의3(판매·구매
정보의 기록 및 보존 등)
- 농약등의 판매·구매 정보의 기록 : 3년
Ⅳ. 개인정보의 파기∣89
개별 법령에서 보존기간으로 정한 기간이 만료한 경우에는 지체 없이 파기하여야 함
법령 및 조문 보유대상 및 기간
• 산업안전보건법 제164조(서류의 보존) • 같은 법 시행규칙 제241조(서류의 보존)
- 안전보건관리책임자·안전관리자·보건관리자· 안전보건관리담당자 및 산업보건의의 선임에 관한
서류 : 3년
- 근로자 건강진단 결과 서류 : 5년
- 특수물질 취급 근로자 건강진단 결과 서류 : 30년
• 신용정보의 이용 및 보호에 관한 법률 제20조의 2(개인신용정보의 보유기간 등)
- 상거래관계 종료 : 5년(목적 달성 후 3개월)
• 의료법 제22조(진료기록부 등) • 같은 법 시행규칙 제15조(진료기록부 등의 보존)
- 환자 명부 : 5년
- 진료기록부 : 10년
- 처방전 : 2년
- 수술기록 : 10년
- 검사소견기록 : 5년
- 방사선사진 및 그 소견서 : 5년
- 간호기록부 : 5년
- 조산기록부 : 5년
- 진단서 등 부본(진단서·사망진단서 및 시체검안서 등을 따로 구분하여 보존할 것) : 3년
• 전자상거래 등에서의 소비자보호에 관한 법률
제6조(거래기록의 보존 등) • 같은 법 시행령 제6조(사업자가 보존하는 거래 기록의 대상 등)
- 계약 또는 청약철회 등에 관한 기록 : 5년
- 대금결제 및 재화등의 공급에 관한 기록 : 5년
- 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제66조의7(거래기록 보존기간 및 약관 변경 방법)
- 1만원 이하 거래기록 : 1년
- 1만원 초과 거래기록 : 5년
• 지방세기본법 제144조(장부 등의 비치와 보존) - 장부 및 증거서류 : 5년
• 통신비밀보호법 제15조의2(전기통신사업자의 협조의무) • 같은 법 시행령 제41조(전기통신사업자의
협조의무 등)
- 전기통신사실 관한 자료 : 12개월
- 시외·시내전화역무 관련 통신사실확인자료 : 6개월
- 컴퓨터통신 또는 인터넷의 로그기록자료, 정보통신 기기의 위치를 확인할 수 있는 접속지 추적자료 : 3개월
90∣
3. 법령상 보관 의무 있는 개인정보의 보존방법(제21조 제3항)
물리적 또는 기술적 방법으로 해당 개인정보 또는 파일을 다른 개인정보와 분리해서
저장·관리함(표준지침 제11조 제1항)
╶ 미파기 개인정보가 기존 개인정보와 혼재되어 있으면 개인정보의 목적 외 이용이나 유출, 오·
남용의 위험성이 커지므로 이를 방지하기 위함
╶ 미파기 개인정보는 다른 법령에서 보존하도록 한 목적 범위 내에서만 처리할 수 있도록 관리함

※ 미파기 개인정보와 기존 개인정보가 혼재된 경우 예시
․ 회원 대상 메일 발송시 탈퇴 회원에게도 같이 발송하는 행위
개인정보처리자는 법령에 근거하여 개인정보 파일 등을 분리 저장·관리한다는 점을
개인정보 처리방침 등을 통하여 정보주체가 알 수 있도록 함(표준지침 제11조 제2항)

조문
위반행위
벌칙수준
제73조 제1의 2호
개인정보를 파기하지 아니한 정보통신서비스 제공자등(제21조 제1항, 제39조의14)
3년 이하 징역 /
3천만원 이하 벌금
제75조 제2항 제4호
개인정보 파기 등 필요한 조치 아니한 경우(제21조 제1항, 제39조의6(제39조의14 준용 포함))
3천만원 이하 과태료
제75조 제4항 제1호
개인정보를 분리하여 저장·관리하지 아니한 경우(제21조 제3항)
1천만원 이하 과태료

Ⅳ. 개인정보의 파기∣91

사례1 : 이용약관을 초과하여 개인정보를 보관해도 되는지? (표준 해석례 13)
위치기반서비스 사업업체입니다. 당사는 개인의 위치정보를 이용하여 유료서비스를 제공하고
있는데 위치기반서비스사업 이용약관 내 보유기간을 초과하여 개인정보를 보관해도 문제가
없을까요? 이용약관 내 보유기간은 2개월이며, 전자상거래법에서 대금결제 및 재화등의 공급에
관한 기록 보유기간은 5년임
답변 : 다른 법률에 근거가 있으면 해당 기간 개인정보를 보유할 수 있음
• 「개인정보 보호법」제6조에 따라 개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는
경우 다른 법률을 우선 적용함
- 한편 「개인정보 보호법」제21조에 따라 개인정보처리자는 보유기간의 경과, 개인정보의
처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를
파기하되, 다른 법령에 따라 보존하여야 하는 경우에는 보존할 수 있음
- 따라서, 「전자상거래법」 시행령 제6조 제1항의 ‘대금결제 및 재화등의 공급에 관한 기록’은
보존기간 5년을 적용하여 같은 조 제2항에 따라 거래당사자인 소비자가 거래기록을 열람·
확인할 수 있도록 보존할 수 있음
사례2 : 퇴직한 직장에서 오는 문자메시지를 오지 못하게 할 수 있는지?(표준 해석례 39)
안녕하세요. 2017년에 퇴직한 곳에서 아직도 단체 문자 메시지가 제 휴대폰으로 전송이 되고 있어
문의 드립니다. 제가 입사할 당시 어떤 서류에 동의했는지 모르겠지만, 퇴사하였다면 그 정보가
삭제되어야 맞지 않은가 싶어서요.

답변 : 해당 직장에 개인정보 정정·삭제 또는 처리정지를 요청하여 원치 않는 메시지
전송을 정지시킬 수 있음
• 「개인정보 보호법」 제21조 제1항에 다른 법령에 따라 보존하여야 하는 경우 이외에는 보유
기간이 경과하거나 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인정보를 파기하도록 하였음
- 한편, 법 제36조에 따라 정보주체는 개인정보처리자에게 개인정보의 정정 또는 삭제를 요구할 수 있고, 제 37조에 따라 정보주체는 개인정보처리자에게 자신의 개인정보 처리의 정지를 요구할 수 있음
- 이 때 개인정보처리자는 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체
없이 그 개인정보를 조사하여 정보 정보주체에주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 알려야 함. 다만, 다른 법령에서 해당 개인정보가 수집 대상으로 명시된 경우 삭제를 요구할 수 없음
- 한편, 정보주체로부터 처리의 정지를 요구받은 개인정보처리자는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 함. 다만, 다른 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 등에는 처리정지 요구를 거절할 수 있음
※ 근로기준법 제42조에 사용자는 근로자 명부와 고용·해고·퇴직에 관한 서류 등을 3년간 보존 하도록 규정됨
사례3 : 회원 개인정보 파기시 연계 회원번호도 파기해야 하는지? (표준 해석례 40)
회원관리 시스템에서 회원 탈퇴 시, 이름, 연락처, 주소 등 개인을 식별하는 정보는 모두 지체 없이
파기합니다. 이때, 생성정보였던, 회원번호 000001도 함께 파기하여야 하는 것일까요? 회원번호
신규 생성 등을 위하여, 회원번호만 따로 순차적으로 관리하려 합니다.

답변 : 개인을 식별할 수 없는 숫자는 개인정보가 아니므로 파기 불필요
• 「개인정보 보호법」 제21조 제1항에 따라 개인정보처리자는 다른 법령에 따라 보존하여야
하는 경우 이외에는 보유기간이 경과하거나 처리 목적 달성 등 그 개인정보가 불필요하게
되었을 때 지체 없이 그 개인정보를 파기하여야 함
- 따라서, 개인정보의 처리 목적이 달성된 경우 개인을 식별할 수 있는 정보(이름, 연락처,
주소 등)는 모두 지체 없이 파기해야 함
- 다만, 법 제58조의2에 따라 이 법은 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를
사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니함
- 따라서, 관련정보가 모두 파기되어 연계 생성된 회원번호를 더 이상 누구의 개인정보인지
알아볼 수 없다면 이는 익명 정보로서 파기하지 않아도 됨

사례4 : 개인정보를 보유기간 경과 후 연장 보존해도 되는지? (표준 해석례 41)
회원가입 시 개인정보 보유기간에 대해 ‘회원탈퇴 즉시 삭제’로 고지하고 있으나, 쿠폰 부정사용 등
불량회원을 식별하기 위해 일부 개인정보를 탈퇴 후 1개월 동안 보존하고 있는 경우, 수집동의서에
회원탈퇴 후 1개월까지 보관이라 명시하고 동의를 받아야 할까요?
답변 : 개인정보 추가보관에 대한 동의를 받아 추가로 보관할 수 있음.
• 「개인정보 보호법」 제21조 제1항의 다른 법령에 따라 보존하여야 하는 경우 이외에는 보유
기간이 경과하거나 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인
정보를 파기하여야 합니다.
- 개인정보 추가 보관에 대하여 사전동의를 받지 않은 회원이 탈퇴한 경우 지체 없이 해당
정보를 파기하여야 합니다.
• 다만 「개인정보 보호법」 제15조에 따라 회원 가입시 혹은 탈퇴 이전에 정보주체(회원)에게
개인정보의 보유 및 이용기간 등에 대한 동의를 받은 경우에는 해당 개인정보를 필요한 범위내
추가로 보관할 수 있습니다.

사례5 : 법정 보존기간이 지난 개인정보를 연장하여 보존해도 되는지? (표준 해석례 42)
전자상거래법 시행령 제6조에 따라 대금결제 및 재화등의 공급에 관한 기록: 5년 등 개인정보 보존 기간을 정하고 관리하고 있습니다. 회원이 결제와 관련하여, 7년전 기록에 대한 조회를 요청하는 경우가 있는데, 위 보존기간 이상 개인정보를 보존해도 되는지요?
답변 : 고객에게 연장보존에 대한 동의를 받으면 연장하여 보존할 수 있음
• 「개인정보 보호법」 제21조 제1항에 따라 개인정보처리자는 다른 법령에 따라 보존하여야
하는 경우 이외에는 보유기간이 경과하거나 처리 목적 달성 등 그 개인정보가 불필요하게
되었을 때 지체 없이 그 개인정보를 파기하여야 함
- 법령에서 보존기간을 별도로 정한 경우 보존기간이 경과되면 지체없이 개인정보를 파기해야
하나, 법 제15조 제2항에서 정한 개인정보의 수집·이용 목적, 수집하려는 개인정보의
항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에
따른 불이익이 있는 경우에는 그 불이익의 내용을 고객에게 알리고 새로 동의를 받으면
연장하여 보존할 수 있음

사례6 : 전자영수증을 발급할 때 개인정보는 언제까지 보존해야 하는지?(표준 해석례 43)
오프라인 매장에서 발급하는 지류 영수증을 전자영수증으로 전환하고자 합니다. 전자문서 및 전자
거래 기본법 제5조 1항(전자문서의 작성자, 수신자 및 송신·수신 일시에 관한 사항이 포함되어
있는 경우에는 그 부분이 보존되어 있을 것)에 따라, 전자영수증을 휴대폰으로 발급할 경우, 보존
기간은 몇 년간 보존하면 되는지 문의드립니다.
답변 : 대금결제 및 재화등의 공급에 관한 기록의 경우 5년간 보존하여야 함
• 「개인정보 보호법」 제21조 제1항에 따라 개인정보처리자는 다른 법령에 따라 보존하여야
하는 경우 이외에는 보유기간이 경과하거나 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인정보를 파기하여야 함
- 한편, 같은 법 제6조에 개인정보보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를
제외하고는 이 법에서 정하는 바에 따르도록 하였음
- 따라서, 「전자문서 및 전자거래 기본법」 등 다른 법률에서 정한 관련 자료 보존기간에 따라
보존이 가능하고, 대금결제 및 재화등의 공급에 관한 기록의 경우 「전자상거래법」 제6조
및 시행령 제6조에 따라 5년간 보존하여야 함
1. 표시·광고에 관한 기록: 6개월
2. 계약 또는 청약철회 등에 관한 기록: 5년
3. 대금결제 및 재화등의 공급에 관한 기록: 5년
4. 소비자의 불만 또는 분쟁처리에 관한 기록: 3년

사례7 : 온라인쇼핑몰 부정행위 고객의 개인정보를 영구보존해도 되는지?(표준 해석례 44)
안녕하세요? 온라인쇼핑몰을 운영하면서 각종 이벤트를 개최할 때 별도 본인인증이 없는 간편가입
회원도 ID별로 참여가 가능하도록 하자, 이를 악용하여 수백개의 ID를 생성하여 멤버십포인트를
적립 및 사용하는 회원이 있어 회원가입 동의를 받아 부정고객에 한해 개인정보를 ‘영구’ 보존하면서 걸러내려고 하는데, 해도 괜찮은지요?

답변 : 개인정보 영구 보존은 보존 기한이 없으므로 법에 위반됨
• 「개인정보 보호법」 제21조 제1항에 따라 개인정보처리자는 다른 법령에 따라 보존하여야
하는 경우 이외에는 보유기간이 경과하거나 처리 목적 달성 등 그 개인정보가 불필요하게
되었을 때 지체 없이 그 개인정보를 파기하여야 함
- 따라서, 별도의 보존기간을 정하지 않은 경우 개인정보의 처리 목적 달성 등 그 개인정보가
불필요하게 되었을 때까지 보유한다는 형태의 동의를 구하면 되나, ‘영구 보존’은 이러한
기한이 없으므로 법에 위반됨
※ 공공기관은 「공공기록물 관리에 관한 법률」에 따라 개인정보를 영구보존할 수 있음

사례8 : 보존기간이 지난 개인정보는 매일 파기해야 되는지? (표준 해석례 45)
안녕하세요? 병원에선 의료법 보존기한에 따라 환자로부터 수집한 개인정보를 보존합니다. 매일
같이 수집되는 의료기록들에 대하여 정확히 보존기한이 지나 파기하려면 매일 파기를 진행해야
하므로 현실적으로 어렵습니다. 방법이 없는지요?
① 2020.12.04. 진료기록의 파기일자 : 2025.12.04.
② 2020.12.05. 진료기록의 파기일자 : 2025.12.05.
답변 : 보존기간 만료 후 5일째 파기가 허용되므로 최대 5일 단위 주기로 파기할 수 있음
• 「개인정보 보호법」 제21조 제1항에 따라 개인정보처리자는 다른 법령에 따라 보존하여야
하는 경우 이외에는 보유기간이 경과하거나 처리 목적 달성 등 그 개인정보가 불필요하게
되었을 때 지체 없이 그 개인정보를 파기하여야 함
- 「표준 개인정보 보호지침」 제10조 제1항에 따라 천재지변, 불가항력적 사태 등으로 인한
정당한 사유가 없는 한 그로부터 5일 이내에 개인정보를 파기해야 하므로 최대 5일 단위 주기로 파기할 수 있음
- 다만, 정당한 사유로 인해 파기가 지체된 경우에는 사유가 종료된 즉시 파기하여야 함

사례9 : 키즈카페는 CCTV 영상을 며칠간 보관해야 하나요?(표준 해석례 62)
안녕하세요? 찾아보니 일반 상가 또는 가게의 CCTV는 최대 30일까지 보관가능이라고 되어 있고,
유치원 어린이집 같은 경우 60일로 되어 있던데, 키즈카페(어린이 놀이카페) 같은 경우에는
CCTV가 최대 며칠까지 법적으로 보관 가능한지 궁금합니다.
답변 : 보유목적 달성을 위한 최소한의 기간동안 보관하되, 보유기간 산정이 어려운 경우 30일 이내 보관함
• 「개인정보 보호법」제25조 제7항 및 시행령 제25조에 따라 영상정보처리기운영자는 영상
정보처리기기의 설치근거, 촬영기간, 보관기간 등을 내용으로 하는 영상정보처리기기 운영·
관리 방침을 마련하여야 하며, 이때 보관기간은 보유목적의 달성을 위한 최소한의 기간으로
설정하면 됨
- 표준개인정보보호지침 제41조 제2항에 따라 보유목적의 달성을 위한 최소한의 기간을
산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 할 수 있음
- 한편, 「영유아 보육법」 제15조의4 제3항에 어린이집을 설치·운영하는 자는 CCTV에
기록된 영상정보를 60일 이상 보관하도록 하고 있는바, 이와 같이 다른 법령에서 영상
정보의 보관기간이 특별히 규정되어 있는 경우에는 그에 따라야 함

영상정보처리기기의 설치·운영의 제한
1. 영상정보처리기기의 개념
2. 영상정보처리기기 설치·운영의 원칙적 금지
3. 영상정보처리기기 설치·운영의 예외적 허용
4. 영상정보처리기기의 설치·운영 절차 및 방법
5. 영상정보처리기기운영자의 의무
6. 정보주체의 개인영상정보 열람 등 요구에 대한 대응

법률 제25조(영상정보처리기기의 설치·운영 제한)
시행령
제22조(영상정보처리기기 설치·운영 제한의 예외)
제23조(영상정보처리기기 설치 시 의견 수렴)
제24조(안내판의 설치 등)
제25조(영상정보처리기기 운영·관리 방침)
제26조(공공기관의 영상정보처리기기 설치·운영 사무의 위탁)
제27조(영상정보처리기기 설치·운영 지침)
표준지침
제35조(적용범위)
제36조(영상정보처리기기 운영·관리 지침)
제37조(관리책임자의 지정)
제38조(사전의견 수렴)
제39조(안내판의 설치)
제40조(개인영상정보 이용·제3자 제공 등 제한 등)
제41조(보관 및 파기)
제42조(이용·제3자 제공·파기의 기록 및 관리)
제43조(영상정보처리기기 설치 및 관리 등의 위탁)
제44조(정보주체의 열람등 요구)
제45조(개인영상정보 관리대장)
제46조(정보주체 이외의 자의 개인영상정보 보호)
제47조(개인영상정보의 안전성 확보를 위한 조치)
제48조(개인영상정보처리기기의 설치·운영에 대한 점검)
가이드라인
공공기관 영상정보처리기기 설치·운영 가이드라인(2021.04.)
민간분야 영상정보처리기기 설치·운영 가이드라인(2021.04.)

영상정보 처리기기
◈ “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의
영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로
정하는 장치를 말함
◈ 법 제2조 제7호에서 “대통령령으로 정하는 장치”란 다음 각 호의 장치를 말함
1. 폐쇄회로 텔레비전 : 다음 각 목의 어느 하나에 해당하는 장치
가. 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬영하거나
촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하여 특정 장소에
전송하는 장치
나. 가목에 따라 촬영되거나 전송된 영상정보를 녹화·기록할 수 있도록하는 장치
2. 네트워크 카메라 : 일정한 공간에 지속적으로 설치된 기기로 촬영한 영상
정보를 그 기기를 설치·관리하는 자가 유무선 인터넷을 통하여 어느 곳에서나
수집·저장 등의 처리를 할 수 있도록 하는 장치
영상정보 처리기기 운영자
◈ “영상정보처리기기운영자”란 공개된 장소에서 다음 각 호의 어느 하나에 해당하는
경우에 폐쇄회로텔레비전 및 네트워크카메라 등 영상정보처리기기를 설치· 운영하는 자를 말함
1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위하여 필요한 경우
3. 시설안전 및 화재 예방을 위하여 필요한 경우
4. 교통단속을 위하여 필요한 경우
5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
◈ 영상정보처리기기운영자는 업무를 목적으로 개인정보파일을 운용하기 위하여 영상정보를 처리하는 ‘개인정보처리자’가 아니더라도 영상정보처리기기를 설치· 운영하는 모든 공공기관, 법인, 단체, 개인 등을 말함
개인영상 정보
◈ “개인영상정보”란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의
초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말함
공개된 장소
◈ “공개된 장소”란 불특정 또는 다수가 출입, 접근 또는 통행하는 데에 제한을 받지 않는 장소를 말함
◈ 이에 대하여 “비공개 장소”란 특정인에 한하여 출입, 접근 또는 통행이 허용되거나 그 출입, 접근 또는 통행이 금지되는 장소를 말함

1. 영상정보처리기기의 개념(제2조 제7호)
일정한 공간에 지속적으로 설치되어 있을 것
╶ 영상정보처리기기는 건물 실내, 도로, 공원 등 일정한 공간에 기반하여 설치되어 일정한 공간이나 구역을 촬영하여야 함. 즉, 고정된 장소 이외에 이동성이 있는 공간이라 하더라도 그 촬영기기의 설치 위치와 촬영 범위가 일정하게 한정되어 있다면 영상정보처리기기에 해당함
※ 버스, 택시 등 영업용 차량 내부에 설치된 CCTV는 차량 내부라는 일정한 공간에 설치되어 일정한
승객 탑승공간을 촬영하고 있으므로 「개인정보 보호법」에 따른 영상정보처리기기에 해당함
※ ‘차량 블랙박스’와 같이 차량 내부에 설치되어 있으면서도 차량 주행에 따라 외부를 촬영하는 기기의
경우에는 촬영 대상·범위가 수시로 변동되므로 「개인정보 보호법」에 따른 영상정보처리기기에
해당되지 않음
╶ 영상정보처리기기는 어느 정도 고정적·항구적으로 운영할 목적으로 설치되어야 함
※ 개인이 휴대하고 있는 캠코더, 디지털카메라 등으로 촬영 공간과 촬영 대상 범위를 바꾸어 가면서
영상을 촬영하는 것은 「개인정보 보호법」에 따른 영상정보처리기기의 범주에 포함되지 않음
※ 개인용 영상정보처리기기를 일정한 공간에 설치해 두고 영상을 촬영한다고 하더라도, 그것이
고정적·항구적으로 운영할 목적이 아닌 이상은 역시 「개인정보 보호법」에 따른 영상정보처리
기기가 아님
╶ 「개인정보 보호법」에 따른 영상정보처리기기가 아닌 장치를 통하여 개인을 촬영하는 행위는
원칙적으로 영상정보처리기기에 대한 규제를 적용하지 않지만, 「개인정보 보호법」의 개인정보
처리에 관한 조항이나 다른 법이 적용될 수 있음
※ 업무를 목적으로 개인정보파일을 운용하기 위해 개인정보처리자가 개인(들)에 대한 영상을 촬영하는
경우에는 「개인정보 보호법」에 따른 개인정보 수집·이용 규정 등을 적용할 수 있음
※ 성적 욕망 또는 수치심을 유발할 수 있는 타인의 신체를 그 의사에 반하여 촬영하는 행위 등은
「성폭력범죄의 처벌 등에 관한 특례법」(제4조)에 따라 처벌될 수 있음

사람 또는 사물의 영상 등을 촬영할 것
╶ “사물”이란 「개인정보 보호법」의 입법 취지를 고려할 때, 그 보호 대상이 되는 사람과 일정한
관계가 있는 사물로 한정하여야 함
※ 천문대에 설치된 망원경은 비록 일정한 공간에 지속 설치되어 우주 공간(사물)을 촬영하고 있지만,
그 촬영 대상이 사람과 일정한 생활 관계에 놓여 있다고 보기 어려우므로 「개인정보 보호법」에 따른
영상정보처리기기에 포함되지 않음
╶ 「개인정보 보호법」에 따른 영상정보처리기기의 ‘촬영’은 순수하게 영상만을 촬영하는 것으로
한정됨. 따라서 음성·음향을 녹음하는 것은 포함되지 않음
촬영된 영상정보를 유·무선망을 통하여 전송하는 장치일 것
╶ 영상정보처리기기에는 사람·사물의 영상을 촬영하는 것뿐만 아니라, 촬영된 정보를 유·무선망을
통하여 전송하는 장치도 포함함. 사실상 영상정보처리기기는 단순히 영상만을 촬영하는 것이
아니라, 그 촬영 화면을 전송하여 그 설치 목적에 따라 열람·활용하는 방식이 널리 이용되고
있음
╶ 폐쇄회로 텔레비전(CCTV)과 같이 촬영 화면을 폐쇄망을 통해 전송하여 모니터링하는 경우
또는 네트워크카메라 등과 같이 인터넷망 등을 이용해 영상을 전송하고 열람하는 경우가 모두
포함됨
대통령이 정하는 장치일 것
╶ 사람·사물을 촬영할 수 있는 영상정보처리기기는 매우 다양하지만, 영상정보처리기기를 모두
규율대상으로 하여 그 사용을 모두 엄격하게 규제할 경우 사회생활이나 경제활동에 제약을
가져올 수 있음. 이와 같은 현실적 요구를 반영하여 「개인정보 보호법」은 그 규율대상이 되는
영상정보처리기기를 최소화하기 위하여 영상정보처리기기의 종류는 대통령령으로 정하는
기기로 제한하고 있음

[영상정보처리기기의 종류]

종류
내용
폐쇄회로
텔레비전
(CCTV)
일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬영하거나 이를 유·
무선 폐쇄회로 등의 전송로를 통해 전송 또는 저장매체에 녹화·기록할 수 있도록 하는 장치
네트워크
카메라
일정한 공간에 지속적으로 설치된 촬영기기로 수집한 영상정보를 유·무선 인터넷을 통하여 어느 곳에서나 수신·조작·저장 등의 처리를 할 수 있도록 하는 장치

2. 영상정보처리기기 설치·운영의 원칙적 금지
공개된 장소에서의 영상정보처리기기의 설치·운영의 금지
╶ 누구든지 공개된 장소에서 영상정보처리기기를 설치·운영하는 것은 금지됨
공개된 장소 (예시) 개인정보 보호위원회·한국인터넷진흥원, 공공기관 영상정보처리기기 설치·운영 가이드라인, 2020.12, 2면.

• 도로, 공원, 공항, 항만, 주차장, 놀이터, 지하철역 등의 공공장소
• 백화점, 대형마트, 상가, 놀이공원, 극장 등 시설
• 버스, 택시 등 누구나 탑승할 수 있는 대중교통
• 병원 대기실, 접수대, 휴게실
• 구청·시청·주민센터의 민원실 등 국가 또는 지방자치단체가 운영하는 시설로 민원인 또는
주민의 출입에 제한이 없는 공공기관 내부
판 례
공개된 장소란?
• 다른 도로와 연결되어 있고 차단기가 설치되어 있지 않거나 설치되어 있더라도 별다른 통제가
없고 개방되어 누구나 차량으로 통행하는 아파트단지 또는 대학구내의 통행로는 불특정
다수의 사람이나 차량의 통행을 위하여 공개된 장소로 본다(대법원 2006.1.13. 선고 2005
도6986 판결).
• 특정상가 건물을 위한 것이 아니고 관리인이 상주·관리하지 않고 출입차단장치가 없으며 무료로
운영되어 불특정 다수인이 수시로 이용할 수 있는 공영주차장은 불특정 다수의 사람 또는
차량의 통행을 위하여 공개된 장소로 본다(대법원 2005. 9. 15. 선고 2005도3781 판결).
• 일반인의 자유로운 출입이 가능하여 다수인이 왕래하는 공개된 장소, 일반인의 자유로운
출입이 가능하도록 공개된 장소인지는 장소의 구조, 사용관계와 공개성 및 접근성 여부, 그에
대한 구체적인 지배·관리형태 등 여러 사정을 종합적으로 고려하여 판단한다(대법원 2015.
9. 10. 선고 2014도17290 판결).

사례1 : 공개된 채혈실에 CCTV를 설치하려면 동의를 받아야 하는지?(표준 해석례 61)
안녕하세요? 병원인데요. 출입구는 통유리로 되어있어 외부에서도 볼 수 있으며 누구나 출입이
자유로운 채혈실에 환자 안전 및 도난 방지등을 위해 CCTV를 설치하려고 합니다. 탈의 등 사생활
침해도 없는 곳으로 CCTV를 설치하면 정보주체에게 동의를 받아야 하나요?
답변 : 사람의 왕래가 빈번한 공개된 채혈실이라면 CCTV를 설치하여 운영시 동의를 받지 않아도 됨
• 불특정 다수가 출입하는 공개된 장소의 경우「개인정보 보호법」제25조 제1항에 따라 누구든지
법령에서 구체적으로 허용하고 있는 경우, 범죄예방 및 수사, 시설안전 및 화재예방 등의
목적으로 영상정보처리기기(CCTV)를 설치·운영할 수 있으나, 출입이 제한된 비공개 장소의
경우 개인정보수집에 대해 제15조에 따른 동의를 받아야 함
- 사람의 왕래가 빈번한 공개된 채혈실이라면 CCTV를 설치·운영하는 경우 정보주체의
동의를 받지 않아도 됨
- 다만, 비공개 장소라도 개인정보처리자가 CCTV를 설치한 경우, 제29조에 따른 안전조치
의무, 제35조에 따른 개인정보 열람 등의 규정이 준용됨
╶ 「개인정보 보호법」에 따르면, “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어
사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치를 말하고,
‘폐쇄회로 텔레비전’(CCTV)과 ‘네트워크 카메라’만 해당함. 따라서 휴대전화, 블랙박스,
디지털카메라 등과 같은 영상정보처리기기는 「개인정보 보호법」의 규율대상이 아님에 주의

조 문
위반행위
벌칙수준
제75조 제2항 제7호
제25조 제1항을 위반하여 공개된 장소에서 영상정보처리 기기를 설치·운영한 자
3천만원 이하 과태료
하여야 함
106페이지
개인의 사생활을 현저하게 침해할 우려가 있는 장소 내부에서의 영상정보처리기기의
설치·운영 금지
╶ 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 “개인의 사생활을 현저히
침해할 우려가 있는 장소”의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하는 것은 금지됨

조 문
위반행위
벌칙수준
제75조 제1항 제3호
제25조 제2항을 위반하여 영상정보처리기기의 설치·운영이 금지된 장소에 영상정보처리기기를 설치·운영한 자
5천만원 이하 과태료

비공개장소 또는 사적 장소에서의 영상정보처리기기의 설치·운영
◈ “비공개 장소”란 특정인에 한하여 출입, 접근 또는 통행이 허용되는 장소를 말함
◈ “사적 장소”란 사생활의 비밀이 노출되지 않고, 자유로운 사생활을 영위할 있는 개인적 용도로
사용하는 공간을 말함
╶ 「개인정보 보호법」은 특정인에 한하여 출입, 접근 또는 통행이 허용되는 사무실 또는 출입통제구역 등과 같은 ‘비공개장소’ 또는 단독주택 등과 같은 ‘사적 장소’에서 영상정보정보처리기기를 설치·운영하는 경우에 준수하여야 하는 사항에 대하여 특별한 규정을 두고 있지 않음
비공개장소 (예시)
• 입주자만 이용 가능한 시설, 직원만 출입이 가능한 사무실, 권한이 있는 자만 접근 가능한
통제구역
• 학생, 교사 등 학교관계자만 출입이 가능한 학교시설(교실, 실험실 등)
• 진료실, 입원실, 수술실, 지하철 내 수유실 등 사생활 침해 위험이 큰 공간
• 교도소, 구치소 및 그 지소, 유치장 등 수용자와 근무자만 출입할 수 있는 교정시설
╶ 비공개장소의 경우 영상정보처리기기의 설치·운영 목적이 업무를 목적으로 하고, 사람이
촬영된 영상정보를 촬영 일시 및 장소 등으로 구분하여 쉽게 검색할 수 있도록 체계화하였다면,
개인정보파일을 운용하기 위하여 영상정보처리기기를 설치·운영하는 “개인정보처리자”(법 제2조 제5호)에 해당함. 따라서 「개인정보 보호법」에 따른 개인정보의 처리원칙을 준수하여야 함
※ 예외) 「형사소송법」제244조의2(피의자진술의 영상녹화), 「북한인권법」제13조 제2항 등과 같은
다른 법률에 특별한 규정이 있는 경우
╶ 단독주택의 현관이나 대문 등 “사적 장소”에 영상정보처리기기를 설치·운영하는 경우에는
「개인정보 보호법」의 적용을 받지 않음. 사적 장소에 영상정보처리기기가 설치·운영되고
있고, 영상정보처리기기를 설치·운영하는 ‘영상정보처리기기운영자’도 업무를 목적으로 영상 정보를 수집하는 ‘개인정보처리자’로 볼 수 없기 때문임
※ 다만, 이러한 경우에도 단독주택·연립주택 등의 대문, 현관을 통하여 방문하는 사람만을 촬영하고, 주택 외부 등 공개된 장소가 촬영되지 않도록 CCTV의 촬영 각도를 최대한 주택의 내부 쪽으로 고정하여 타인의 사생활을 침해하거나 불필요한 개인영상정보가 수집되지 않도록 해야 함

사례2 : 차량 내부 블랙박스 영상을 직원 복무점검에 사용해도 되는지?(표준 해석례 36)
회사 차량 내부에 블랙박스가 설치 되어 주기적으로 모니터링 되고 있습니다. 개인정보 동의서에
의하면 수집 및 이용 목적이 교통사고 예방을 위한 모니터링 및 교통사고 상황의 파악으로 되어
있습니다. 그러나, 성과금 관련 및 인사평가, 근무평정에 감점의 요인으로 영상정보를 활용해도
법에 위배되지 않는지요?
답변 : 직원 동의를 받아 회사차량 내부에 블랙박스를 설치·운영할 수 있으나, 근태관리 등 목적으로 이용하려면 노사 협의를 거쳐야 함
• 공개된 장소가 아닌 회사차량 내부의 경우「개인정보 보호법」제25조의 영상정보처리기기의
설치·운영이 적용되지 않아 제15조 제1항 제1호의 정보주체로부터 동의를 받은 경우 또는
개인정보처리자의 이익을 달성하기 위하여 필요한 경우 등 제한적 범위에서 CCTV를 설치·
운영할 수 있음
- 다만, 개인정보 수집 목적과 달리 영상정보를 활용하기 위해서는 보호법 제18조 제2항에
따른 동의를 받거나 다른 법률의 근거가 있어야 하며 그렇지 않으면 보호법에 위반됨
- 한편, 사업장에서 근로자 감시 설비로 CCTV를 설치하려면 「근로자참여 및 협력증진에
관한 법률」제20조 제14호에 따라 노사 협의 후 설치하거나 「노동조합 및 노동관계조정법」
제31조에 따라 노사가 체결한 단체협약에 근거를 마련하여야 함.

사례3 : 공동주택 복도에 입주민이 CCTV를 설치해도 되는지? (표준 해석례 56)
복도식 아파트에서 8개월 전부터 이웃과 시끄럽다고 지구대에서 여러 번 다녀갔습니다. 범죄
예방을 위해서 CCTV 2대를 설치한 세대에 대해 개인정보보호법 위반소지와 사생활 침해를
우려하는 세대에서 카메라 제거를 요구하고 있습니다. 설치해도 되나요?
답변 : 공개된 복도에 설치할 수 있으나 관련 의무를 위반한 경우 과태료에 해당함
• 공동주택에서 공개된 복도의 경우「개인정보 보호법」제25조 제1항에 따라 누구든지 법령에서
구체적으로 허용하고 있는 경우, 범죄예방 및 수사, 시설안전 및 화재예방 등의 목적으로
영상정보처리기기(CCTV)를 설치·운영할 수 있음
- 이 경우 법 제25조에 규정된 안내판 설치, 안전성 확보조치, 처리방침의 공개 등을 준수하여야
하며, 법 제35조에 따른 정보주체의 열람에 응해야 함. 위반시 과태료에 해당함
- 다만, 개인이 자신의 집 출입구에 CCTV를 설치하여 자신의 집에 출입하는 사람만을 촬영하는
경우 개인의 사적인 공간에 설치한 것으로 볼 수 있어 보호법의 적용이 배제될 수 있으나,
이웃 또는 지나가는 사람의 사생활이 침해되지 않도록 촬영 각도를 조절하거나 가림막을 설치하여야 함

사례4 : 가정집에 IP카메라를 장착, 운영하면 불법인지? (표준 해석례 52)
CCTV로 녹음하는 것이 불법이라고 알고 있으나 가정집에 IP 카메라를 장착하여 본인이 살고 있는
집(공간)도 녹음하면 불법인가요?
답변 : 순수한 사적 공간에 IP카메라의 설치는 개인정보 보호법의 적용을 받지 않으나,
운영 및 이용은 상황에 따라 달라짐
• 「개인정보 보호법」 제2조 제7호에 "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어
사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치로 정의되어 있음

- 건물의 현관·복도 등 불특정 다수가 출입하고 이용하는 공개된 장소에 설치된 영상정보처리
기기는 보호법 제25조의 적용을 받으며, 그렇지 않은 비공개된 장소에 설치하는 영상정보
처리기기는 법 제15조의 적용을 받거나 법의 적용에서 제외됨
- 따라서, 택시, 버스 등 영업용 차량 내부에 설치되어 외부(차량, 도로 등)를 촬영하는 ‘블랙
박스’는 일정한 공간을 촬영하는 것이 아니므로 이 법 제25조의 적용을 받지 않으나 차량 내부를 촬영하는 경우 법 제25조의 적용을 받을 수 있음
- 한편, 자신이 살고 있는 집안은 ‘공개된 장소’가 아닌 순수한 사적(私的) 공간으로서, 이 법의
적용을 받지 않고 자유롭게 ‘IP 카메라’를 설치할 수 있으나, 운영 및 이용 과정에서 다른
정보주체와의 관계 및 상황에 따라 이 법의 적용을 받을 수 있음
※ 예를 들어 집안에 설치 후 이웃집 또는 공개된 장소의 다른 정보주체를 촬영하는 행위 등은 법
제15조 제1항 위반에 해당함

3. 영상정보처리기기 설치·운영의 예외적 허용 - 109페이지
[영상정보처리기기의 설치·운영 절차]

 

※ 사전의견수렴: 공공기관에 한함
“개인의 사생활을 현저히 침해할 우려가 있는 장소” 내부에서의 영상정보처리기기의
예외적 설치·운영의 허용
◈ “개인의 사생활을 현저히 침해할 우려가 있는 장소”란 교도소, 구치소 및 그 지소 등 교정시설,
정신의료기관, 정신요양시설, 정신재활시설을 말함.
╶ 개인의 사생활을 현저히 침해할 우려가 있는 장소이지만, 공익적 목적의 실현을 위하여 “개인의
사생활을 현저히 침해할 우려가 있는 장소”의 내부를 볼 수 있도록 영상정보처리기기의 설치·

운영이 예외적으로 허용됨. 즉, 수용자 또는 정신질환자의 자살·자해·도주·폭행·손괴, 그 밖에
수용자 또는 정신질환자의 생명·신체를 해하거나 시설의 안전 또는 질서를 해하는 행위를
방지하는 등 공익적 목적을 실현하기 위하여 영상정보처리기기의 설치·운영이 예외적으로
허용됨

헌법재판소 결정례 : 교도소 내 화장실 차폐시설의 설치 의무 인정
형의 집행 및 수용자의 처우에 관한 법률 시행규칙 제160조는 교도관이 법 제94조에 따라
수용자 또는 시설을 계호하는 경우 사용할 수 있는 전자장비로 영상정보처리기기, 전자감지기
등을 열거하고 있고, 시행규칙 제162조 제3항은 “거실에 영상정보처리기기 카메라를 설치하는
경우에는 용변을 보는 하반신의 모습이 촬영되지 아니하도록 카메라의 각도를 한정하거나
화장실 차폐시설을 설치하여야 한다.”고 규정하여 영상정보처리기기 카메라가 설치된 거실에
수용자 하반신의 모습이 촬영되지 아니하도록 카메라의 각도를 한정하지 아니한 경우 교도소장
에게 화장실 차폐시설을 설치할 의무를 부과하고 있다.[헌법재판소 2014. 4. 16. 선고 2014
헌마250 결정]
법령에서 구체적으로 허용하고 있는 경우
◈ “법령”이란 법률, 시행령, 시행규칙을 말함
╶ 법령에서 장소의 특수성을 고려하여 영상정보처리기기의 설치를 의무화하고 있거나 설치를
허용하고 있는 경우 해당 법령에 근거하여 영상정보처리기기를 설치·운영할 수 있음
[영상정보처리기기의 설치를 규정하고 있는 법령]
관련법률 내용
검역법 제12조 • 검역소장은 검역업무를 신속하고 정확하게 수행하기 위하여 영상정보
처리기기를 활용할 수 있음
검역법 제29조의9/ 시행규칙 제25조의6 • 검역소에는 검역업무 수행을 위하여 영상정보처리기기를 설치하여야 함

관련법률 내용
공동주택관리법 시행규칙 제8조
• 공동주택단지에 영상정보처리기기의 설치를 허용함
“공동주택단지”란 주택건설사업계획 또는 대지조성사업계획의 승인을 받아 주택과 그 부대시설 및 복리시설을 건설하거나 대지를 조성하는 데 사용되는 일단(一團)의 토지를 말함(공동주택관리법 제2조 제3호, 주택법 제2조 제12호)
공중위생관리법 시행규칙 [별표 1]
• 목욕장업자는 목욕실, 발한실, 탈의실 이외의 시설에 무인감시카메라를 설치할 수 있음 공직선거법 제176조
• 구·시·군선거관리위원회는 우편으로 송부된 사전투표·거소투표 및 선상투표를 투입한 우편투표함과 사전투표함을 영상정보처리기기가 설치된 장소에 보관하여야 하고, 해당 영상정보는 해당 선거의 선거일 후 6개월 까지 보관함
국민체육진흥법 제18조의15 / 시행령 제18조의6
• 국가와 지방자치단체 및 체육단체 등은 선수·감독·코치·심판 및 경기 단체의 임직원 등 체육인에 대한 폭력, 성폭력 등 인권침해의 우려가 있는 주요 지점에 영상정보처리기기를 설치·관리할 수 있음
1. 실내외 훈련장(지도자실 및 회의실 등을 포함한다)
2. 훈련시설의 출입문·복도·주차장 및 주요 교차로
3. 훈련시설의 식당 및 강당 등 여러 사람이 이용하는 시설
국제항해선박 및 항만시설의 보안에 관한 법률 시행규칙 [별표 4]
• 국제여객선터미널의 여객 대기지역, 항만시설 내 국토해양부령으로 정하는 지역에 설치하는 울타리 등에 폐쇄회로 텔레비전을 설치하여야 함
군에서의 형의 집행 및 군수용자의 처우에 관한 법률 시행규칙 제115조
• 군교정시설의 벽둘레·감시대·울타리·운동장·거실·작업장·접견실·전화실·조사실·진료실·복도·통용문 그 밖에 「군에서의 형의 집행 및 군수용자의 처우에 관한 법률」재81조 제1항에 따라 전자장비를 이용하여 계호하여야할 필요가 있는 장소에 영상정보처리기기 카메라를 설치하여야 함
노면전차 건설 및 운전등에 관한 규칙 제30조
• 주요 교차로와 정거장에 폐쇄회로 텔레비전을 설치하여 관제실에서 실시간으로 영상을 볼 수 있도록 하여야 함
도시공원 및 녹지 등에 관한 법률 제19조의2
• 도시공원을 관리하는 특별시장·광역시장·특별자치시장·특별자치도지사· 시장 또는 군수는 범죄 또는 안전사고 발생 우려가 있는 도시공원 내 주요 지점에 폐쇄회로 텔레비전과 비상벨 등을 설치·관리 하여야 함
도시철도법 제41조 / 시행령 제25조
• 도시철도운영자는 범죄예방 및 교통사고 상황 파악을 위하여 도시철도차량에 대통령령으로 정하는 기준에 따라 폐쇄회로 텔레비전을 설치하여야 함
[설치기준]
1. 해당 도시철도차량 내에 사각지대가 없도록 설치할 것
2. 해상도는 범죄 예방 및 교통사고 상황 파악에 지장이 없도록 할 것
3. 도시철도를 이용하는 승객 누구나 쉽게 인식할 수 있는 위치에 설치할 것

관련법률 내용
보행안전 및 편의증진에 관한 법률 제24조 / 시행규칙 제9조
• 국가 및 지방자치단체는 범죄로부터 보행자를 안전하게 보호하기 위하여 필요하다고 인정하는 경우에는 보행자길에 영상정보처리기기를 설치할
수 있음 • 우범지역이나 인적이 드문 외진 곳 등 범죄발생의 위험이 높은 지역에 있는 보행자길에는 영상정보처리기기의 설치 하여야 함
영상정보처리기기의 설치 대상구역은 보행자길 가운데 과거에 범죄가 발생하였거나 범죄 발생의 가능성이 높은 구역으로 함
보호소년 등의 처우에 관한 법률 시행규칙 제24조의6 / 소년원 및 소년분류심사원
영상정보처리기기
운영지침 제4조
• 소년원등의 청사 정문·운동장, 외곽 담장, 생활관 내 복도, 각 생활실, 생활
지도실, 그 밖에 보호소년등의 감호에 필요한 장소로서 법무부장관이
정하는 장소에 영상정보처리기기 중 카메라를 설치하여야 함
소년원 등의 영상정보처리기기 중 카메라의 설치장소
1. 청사 정문 및 면회실(민원실)
2. 운동장 주변 및 외곽 담장 주변
3. 생활관 출입문 및 생활지도실
4. 생활관 내 복도 및 각 실
5. 생활관 내 목욕탕, 세면실 및 화장실
6. 생활관 외부 창문
7. 교육관 및 직업훈련장 내 각 실
8. 학생식당
생명윤리 및 안전에 관한
법률 시행규칙 [별표 4]
• 체세포복제배아연구기관은 실험실 및 보관시설의 감시를 위하여 CCTV 등을 설치하여야 함
아동복지법 제32조
• 국가와 지방자치단체는 유괴 등 범죄의 위험으로부터 아동을 보호하기 위하여 다음 시설의 주변구역을 아동보호구역으로 지정 후 영상정보처리 기기를 설치하여야 함
1. 「도시공원 및 녹지 등에 관한 법률」 제15조에 따른 도시공원
2. 「영유아보육법」 제2조 제3호의 어린이집, 같은 법 제7조에 따른 육아 종합지원센터 및 같은 법 제26조의2에 따른 시간제 보육서비스 지정 기관
3. 「초·중등교육법」 제38조 따른 초등학교 및 같은 법 제55조에 따른 특수학교
4. 「유아교육법」 제2조에 따른 유치원, 여객자동차 운수사업법 제27조의3 제1항
• 운송사업자는 여객자동차운송사업에 사용되는 차량의 운행상황 기록, 교통사고 상황 파악, 차량 내 범죄예방을 위하여 대통령령으로 정하는 여객자동차운송사업의 사업용 자동차에 영상기록장치를 설치하여야 함
Ⅴ. 영상정보처리기기의 설치·운영의 제한∣113
관련법률 내용
영유아보육법 제15조의4
• 어린이집을 설치·운영하는 자는 아동학대 방지 등 영유아의 안전과 어린이 집의 보안을 위하여 「개인정보 보호법」 및 관련 법령에 따른 폐쇄회로 텔레비전을 설치·관리하여야 함
[예외]
1. 어린이집을 설치·운영하는 자가 보호자 전원의 동의를 받아 특별자치시장· 특별자치도지사 ·시장·군수·구청장에게 신고한 경우
2. 어린이집을 설치·운영하는 자가 보호자 및 보육교직원 전원의 동의를 받아 「개인정보 보호법」 및 관련 법령에 따른 네트워크 카메라를 설치한 경우
외국인보호규칙 제37조
• 출입국·외국인청장, 출입국·외국인사무소장, 출입국·외국인청 출장소장, 출입국·외국인사무소 출장소장 또는 외국인보호소장은 예산의 범위에서 영상정보처리기기를 설치할 수 있음
응급의료등에 관한 법 제47조
• 응급환자의 이송 상황과 이송 중 응급처치의 내용을 파악하기 위하여 구조차에 「개인정보 보호법」 제2조 제7호에 따른 영상정보처리기기 장착 의무
자연환경보전법 시행규칙 제28조의2
• 생태통로를 설치하거나 관리하고 있는 자는 계절별 1개월 이상 폐쇄회로 텔레비전(CCTV)을 이용하여 생태통로가 적정하게 활용될 수 있도록 조사하여야 함
[생태통로를 설치하거나 관리하고 있는 자(자연환경법 제45조)]
1. 개발사업등을 시행한 국가 또는 지방자치단체
2. 국가 또는 지방자치단체에 의하여 개발사업등을 인·허가 받은 자
3. 생태통로가 필요한 지역에 위치한 도로 및 철도 등의 관리주체
자유무역지역의 지정 및 운영에 관한 법률 제27조 / 시행규칙 제15조
• 자유무역지역의 구분별 관리권자(법 제8조 제1항)는 영상정보처리기기를 자유무역지역을 출입하는 사람 및 자동차에 대한 기록을 90일 동안 관리하여야 함
주차장법 시행규칙 제6조 제1항 제1호
• 주차대수 30대를 초과하는 규모의 자주식 주차장으로서 지하식 또는 건축물식에 의한 노외주차장에는 관리사무소에서 주차장 내부 전체를 볼 수 있는 폐쇄회로 텔레비전 (녹화장치 포함) 또는 네트워크 카메라를 포함하는 방범설비를 설치·관리하여야 함
주택건설기준 등에 관한 규정 제39조 / 주택건설 기준 등에 관한규칙 제9조
• 공동주택을 건설하는 주택단지에는 보안 및 방범 목적을 위하여 승강기, 어린이놀이터 및 각 동의 출입구에 영상정보처리기기를 설치하여야 함

관련법률 내용
지하공공보도시설의 결정·구조 및 설치기준에 관한 규칙 제12조
• 지하공공보도시설의 부대시설로서의 중앙방재실에 자체 감시카메라 (CCTV) 설비를 갖추어야 함
철도안전법 제39조의3
• 철도운영자 및 철도시설관리자은 철도차량의 운행상황 기록, 교통사고 상황 파악, 안전사고 방지, 범죄 예방 등을 위하여 철도차량 또는 철도 시설에 영상기록장치를 설치·운영하여야 함
초고층 및 지하연계 복합건축물 재난관리에 관한 특별법 시행규칙
제7조 제1항 제4호 자목
• 초고층 건축물(층수가 50층 이상 또는 높이가 200미터 이상인 건축물) 등의 관리주체가 실치·운영하는 종합방재실의 설비로서 “피난안전구역, 피난용 승강기 승강장 및 테러 등의 감시와 방범·보안을 위한 폐쇄회로 텔레비전(CCTV)”를 설치하여야 함
출입국관리법 제56조의7
• 지방출입국·외국인관서의 장은 피보호자의 자살·자해·도주·폭행·손괴나 그 밖에 다른 피보호자의 생명·신체를 해치거나 보호시설의 안전 또는 질서를 해치는 행위를 방지하기 위하여 필요한 범위에서 영상정보처리 기기를 설치할 수 있음
초·중등교육법 제30조의8 제2항 제2호
• 초중등학교의 장은 학생의 안전을 위한 영상정보처리기기를 설치하여야 함
[학교폭력예방 및 대책에 관한 법률 제20조의7] 국가 및 지방자치단체는 학교폭력 예방 업무를 효과적으로 수행하기 위하여 교육감과 협의하여 학교 내외에 설치된 영상정보처리기기를 통합하여 관제할 수 있음
폐광지역개발 지원에 관한 법률 시행령 제14조 제2항
• 카지노사업자는 호텔의 내부 및 외부의 주요 지점에 폐쇄회로 텔레비전을 설치·운영하여야 함
학교체육 진흥법 제7조 / 시행령 제2조의3
• 학교의 장은 학생에 대한 폭력, 성폭력 등 인권침해의 우려가 있는 학교 체육시설 관련 주요 지점에 영상정보처리기기를 설치·운영할 수 있음
[학교 체육시설 관련 주요 지점]
1. 실내외 훈련장(학교운동부지도자실 및 회의실 등을 포함한다)
2. 학생선수기숙사 및 훈련시설의 출입문·복도·주차장 및 주요 교차로
3. 학생선수기숙사 및 훈련시설의 식당 및 강당 등 여러 사람이 이용하는 시설
국제항해선박 및 항만시설의 보안에 관한 법률 제31조의2
• 항만시설소유자는 범죄 예방 및 보안을 확보하기 위하여 그가 소유하거나 관리·운영하는 항만시설에 대하여 폐쇄회로 텔레비전을 설치하여야 함
형의 집행 및 수용자의 처우에 관한 법률 시행규칙 제162조
• 교정시설의 주벽(周壁)·감시대·울타리·운동장·거실·작업장·접견실· 전화실·조사실·진료실·복도·중문, 그 밖에 법 제94조 제1항에 따라 전자 장비를 이용하여 계호하여야 할 필요가 있는 장소에 영상정보처리기기를 설치하여야 함

사례5 : 의결례 제2019-12-199호
지방자치단체가 「미세먼지 저감 및 관리에 관한 특별법」에 따른 미세먼지 비상저감조치에 따른
운행 제한대상 자동차를 단속하고 과태료를 부과하는 업무수행 및 교통단속을 위하여 설치·운영중 인 CCTV의 설치 목적에 ‘운행제한 자동차의 단속 및 과태료 부과’목적을 추가하여 병행·활용할 수 있습니까?
답변 : 지방자치단체는 교통단속을 위하여 설치·운영중인 CCTV의 설치 목적에 ‘운행
제한 자동차의 단속 및 과태료 부과’목적을 추가하여 병행·활용할 수 있음
• 「미세먼지 저감 및 관리에 관한 특별법」제18조 제1항 제1호는 시·도지사는 미세먼지를 줄이기
위한 비상저감조치의 하나로 “대통령령으로 정하는 영업용 등 자동차를 제외한 자동차의 운행
제한”을 시행할 수 있다고 규정하고 있으며, 같은 조 제4항에서 자동차 운행 제한의 방법·
대상지역·대상차량 등에 필요한 사항은 시·도의 조례로 정하도록 위임하고 있음. 그리고 같은
법 제31조는 비상저감조치에 따른 자동차의 운행 제한 조치를 위반한 자에 대하여 시·도지사
등이 과태료를 부과·징수하도록 규정하고 있음
- 따라서, 지방자치단체가 비상저감조치에 따른 자동차의 운행 제한 조치를 위반한 자를
단속하기 위하여 영상정보처리기기를 설치·운영하는 것은 「개인정보 보호법」 제25조
제1항 제1호의 “법령에서 구체적으로 허용하고 있는 경우”에 해당하므로 허용됨
• 지방자치단체가 미세먼지 비상저감조치에 따른 운행제한 자동차를 단속하고 과태료를
부과하는 업무 수행을 위하여 조례를 제정하면서, 해당 지방자치단체가 교통단속을 위하여
이미 설치·운영 중인 영상정보처리기기에 ‘운행제한 자동차의 단속 및 과태료 부과’라는
새로운 목적을 추가하여 병행·활용하기 위해서 다음과 같은 절차에 따라 조례를 정하여야 함
- 「개인정보 보호법」제25조 제3항, 같은 법 시행령 제23조 제1항 및 「표준 개인정보 보호
지침」 제38조에 따라 「행정절차법」에 따른 행정예고의 실시 또는 의견청취 등의 절차를
거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 함(의결례 제2019-12-199호)
116∣
범죄의 예방 및 수사를 위하여 필요한 경우
◈ “범죄”란 법 위반으로 형벌이 부과되는 행위를 말함
※ “형벌”에는 사형, 징역, 금고, 자격상실, 자격정지, 벌금, 구류, 과료, 몰수” 등 9종류가 있음
◈ “수사”란 범인을 발견·확보하고 증거를 수집·보전하는 수사기관의 활동을 말함
◈ “필요한 경우”란 영상정보처리기기를 설치·운영하여 수집한 영상정보를 처리하여야 범죄를
예방하고 수사가 이루어 질 수 있는 경우를 말함
╶ 누구든지 공개된 장소에 범죄를 예방하기 위하여 필요한 경우에 영상정보처리기기를 설치·
운영할 수 있음. “범죄”에는 형법상의 범죄는 물론 개별법이나 단속법에 따라 형벌이 부과되는
범죄도 포함함
※ 예를 들면, 광고물 무단부착, 쓰레기 무단투기, 노상방뇨 불안감조성, 음주소란 인공구조물 등의
관리소홀, 공무원 원조불응 등 10만원 이하의 벌금, 구류 또는 과료의 형으로 처벌하는 경범죄를
예방·수사하기 위하여 영상정보처리기기를 설치·운영할 수 있음
※ 범죄를 예방하기 위하여 은행, 백화점이나 편의점, 회사의 창고 등에 CCTV를 설치·운영하는 것은
허용됨
※ 그렇지만, 행정의 실효성을 확보하기 위한 수단으로서 행정형벌을 제외한 과태료, 과징금, 시정명령,
직접강제, 즉시강제, 면허취소 등의 행정처분이 부과되는 행위는 ‘범죄’에 해당하지 않음

결정례 : 행정제재처분은 범죄에 해당하지 않음
｢개인정보 보호법｣제25조 제1항 제2호의 ‘범죄’는 법 위반으로 인해 형사처벌이 과해지는
행위를 말한다 할 것이다. 관외택시 불법 영업행위는 여객자동차법상 금지된 사항을 위반하는
행위에 해당하지만, 그 위반행위에 대하여 형사처벌 규정은 없고 과징금 또는 면허취소 등의
행정제재 처분만이 가능하므로 ｢개인정보 보호법｣제25조 제1항 제2호의 ‘범죄’에 해당하지
않는다 할 것이다(의결례 제2019-11-178호).
╶ 범죄의 혐의 유무를 명백히 하여 공소의 제기와 유지 여부를 결정하기 위한 “수사”에는 수사
권한이 없는 사람도 할 수 있는 “조사”는 물론, 범죄첩보 및 진정·탄원과 범죄에 관한 언론·
출판물·인터넷 등으로부터의 정보, 익명의 신고 또는 풍문 중에서 출처·사회적 영향 등을
고려하여 그 진상을 확인할 가치가 있는 사안을 대상으로 수사 이전에 이루어지는 “내사”는
포함되지 않음
╶ 범죄의 예방을 위하여서는 공개된 장소에 공공기관은 물론 법인, 단체, 개인도 영상정보처리
기기의 설치·운영이 허용됨. 그렇지만, 수사를 목적으로 영상정보처리기기를 설치·운영하는 것은 경찰, 검찰 또는 특별사법경찰관리 등의 수사기관만이 설치·운영의 주체가 된다는 점에
주의하여야 함
시설 안전 및 화재예방을 위하여 필요한 경우
╶ 각종 자연재해, 시설 노후화, 인위적 훼손·난동, 방화, 낙서 등으로부터 공공시설, 문화재, 사유
재산 등을 보호하기 위하여 필요한 경우 영상정보처리기기의 설치·운영이 허용됨
╶ 국가 또는 지방자치단체는 공공시설, 행정재산 - 공용재산, 공공용재산, 기업용재산, 보존용
재산 – 및 일반재산의 안전을 확보하고, 화재를 예방하기 위하여 필요한 경우에는 영상정보
처리기기를 설치·운영할 수 있음
공공시설, 행정재산, 일반재산의 유형
• 공공시설 - 도로, 공원, 철도, 수도, 항만, 공항, 녹지 또는 행정청이 설치하는 주차장, 운동장,
저수지, 화장장 등 공공의 업무와 용도로 사용
• 행정재산 – 국가 또는 공공단체가 직접 행정목적을 위해 공용(公用)하는 재산
1) 공용재산 - 청사, 관저, 공관, 막사, 관사 등
2) 공공용재산 - 공원, 도로, 댐, 하천 등
3) 기업용재산 - 국·공립병원, 지하철, 공공모빌리티 및 대여소 등
4) 보존용재산 - 문화재, 보존림 등
• 일반재산 - 행정재산에서 폐지된 재산으로서 나대지, 전, 답, 임야, 건물 등

교통단속을 위하여 필요한 경우
╶ 도로를 이용하는 각종 차량 및 사람들의 「도로교통법」 등‘교통법규’ 위반을 단속·예방하기
위하여 필요한 경우 영상정보처리기기를 설치·운영할 수 있음. 이 경우 영상정보처리기기는
교통단속의 권한이 있는 기관, 예를 들면, 지방자치단체 또는 경찰청이 설치하고 운영하여야 함
118∣
※ “교통단속을 위하여 필요한 경우”에는 예를 들면, 주·정차 위반, 신호위반, 제한속도위반, 버스
전용차로위반, 도로의 횡단 등 「도로교통법」 등 교통 관련 법규 위반행위의 단속 및 예방 등이
해당함
사례6 : 아파트에서 불법(유턴)차량 신고용 CCTV를 설치해도 되는지?(표준 해석례 55)
아파트 입구 대로변에서 불법 유턴 차량이 많아 사고 위험이 있어 당 아파트에서 불법 유턴 차량을 신고할 목적으로 CCTV를 설치해도 되는지 문의 드립니다.
공동주택관리법 시행규칙 제8조 3항에 의거하여 관리주체는 보안 및 방범 목적 외의 용도로
활용하거나 타인에게 열람하게 하거나 제공하여서는 아니 된다고 명시 되어 있어 아파트에서
설치하여 대로변 불법차량을 파악하여 신고 목적용으로 설치하여도 되는지 문의 드립니다.
답변 : 아파트 관리사무소에서 불법 유턴 차량 신고 목적으로는 공개된 장소에 CCTV를 설치할 수 없음
• 「개인정보 보호법」제25조 제1항에 따라 누구든지 공개된 장소에는 법령에서 구체적으로
허용하고 있는 경우, 교통단속을 위하여 필요한 경우, 교통정보의 수집·분석 및 제공을 위하여
필요한 경우 등의 목적으로 영상정보처리기기(CCTV)를 설치·운영할 수 있음
- 따라서, 아파트 관리사무소에서 불법 유턴 차량 신고 목적으로는 공개된 장소에 CCTV를
설치할 수 없음
- 참고로, 교통단속을 위하여 CCTV를 설치하려면 설치목적에 부합하는 단속 권한이 있는
자가 설치하여야 함
교통정보의 수집·분석 및 제공을 위하여 필요한 경우
◈ “교통정보”란 사람 또는 화물을 한 장소에서 다른 장소로 이동하기 위한 행위, 활동, 기능 또는
과정 등에 관한 정보를 말함
╶ 고속도로, 간선도로 등에서의 교통사고, 경로검색, 노선별 교통량, 혼잡구간, 정체구간 또는
도착지 교통 현황 등에 관한 교통정보를 실시간으로 제공하거나 교통정보를 분석하여 이용자의
Ⅴ. 영상정보처리기기의 설치·운영의 제한∣119
요청에 따라 특정 요일과 시간, 도로 등 다양한 요청 조건에 따른 교통정보를 제공하기 위하여
필요한 경우 영상정보처리기기를 설치·운영할 수 있음. 다만, 교통정보를 제공하기 위하여
영상정보처리기기를 설치·운영할 수 있는 자는 ‘한국도로공사, 경찰청, 지방자치단체’로
한정됨

사례 : 의결례 제2019-24-385호
터널 내 발생하는 교통사고와 그에 따른 인명피해를 방지하고자 터널 내부에 영상정보처리기기를
설치하여 해당 영상정보처리기기에 촬영된 터널 내 교통법규 위반 차량의 자동차등록번호를
경찰청(스마트 국민제보 사이트)에 제공하는 것이 가능합니까?
답변 : 터널 내 교통법규 위반 차량의 확인 및 제보를 위해 터널 내부에 영상정보처리
기기를 설치·운영할 수 없음
• 「개인정보 보호법」 제25조 제1항 제5호는 공개된 장소에 영상정보처리기기를 설치할 수 있는
근거로 교통정보의 수집·분석 및 제공을 위하여 필요한 경우를 규정하고 있음
- ‘교통정보의 수집·분석 및 제공을 위하여 필요한 경우’란 원활한 교통 흐름을 위한 교통량
분석, 교통사고 등에 관한 정보를 수집·제공하기 위하여 필요한 경우를 말하므로
- 터널 교통법규 위반 차량의 확인 및 제보를 위해 영상정보를 수집하여 제공하고자 하는 터널
내 교통법규 위반 차량에 관한 정보는 이에 해당한다고 보기 어려움
• 따라서 「개인정보 보호법」제25조 제1항 제5호를 근거로 터널 내부에 영상정보처리기기를
설치·운영할 수 없음(의결례 제2019-24-385호)

4. 영상정보처리기기의 설치·운영 절차 및 방법
영상정보처리기기의 설치·운영 절차
╶ 공공기관이 공개된 장소에 영상정보처리기기를 설치·운영하려는 경우에는 다음의 어느 하나에
해당하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 함
120∣
영상정보처리기기의 설치·운영을 위한 선택적 의견 수렴 절차
1. 「행정절차법」에 따른 행정예고의 실시 또는 의견청취
※ 의견청취 - 의견제출, 청문, 공청회
2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·
설문조사 또는 여론조사
[「행정절차법」의 행정예고절차[ 행정안전부, 행정절차제도 실무 편람, 2021. 1, 219쪽.

4) 행정안전부,

구분
의견제출
청문
공청회
개념
• 국민의 권익제한 또는 의무 부과에 앞서 당사자 등이 의견을 제시하는 절차로서 청문이나 공청회에 해당하지 아니하는 절차
• 일반·간이절차
• 행정청이 어떤 처분을 하기에 앞서 당사자등의 의견을 직접 듣고 거를 조사하는 절차
• 특별·정식절차
• 행정청이 공개적인 토론을 통하여 어떠한 행정작용에 대하여 당사자등, 전문지식과
경험을 가진 자 등으로부터
의견을 널리 수렴하는 절차 • 특별절차

실시요건
• 불이익처분시 청문이나 공청회를 실시하는 경우 외에는 의견 제출의 기회 부여
• 다른 법령등에서 청문을 실시 하도록 규정하고 있는 경우 • 인허가 등의 취소 등 처분시 의견제출기한 내 당사자 등의 신청이 있는 경우 • 행정청이 필요하다고 인정 하는 경우
• 다른 법령등에서 공청회를 개최하도록 규정하는 경우 • 행정청이 널리 의견을 수렴할 필요가 있다고 인정하는 경우 • 국민생활에 영향을 미치는 처분으로서 30명 이상의 당사자 등이 개최를 요구하는 경우
실시
절차
• 의견제출기회의 제시·처분 사전통지서(의견제출통지서)
의견제출에 필요한 상당 기간 고려 (10일이상 부여)
• 처분사유, 처분내용 및 청문 일시 등을 통보·처분사전 통지서(청문실시 통지)
청문개최 10일 전까지 사전 통지
• 미리 공청회에 관한 사항(목적, 일시, 참석자 등)을 널리 홍보·공청회개최 통지서
공청회개최 14일 전까지 통지·공고(재개최 시 7일 전까지)
• 의견제출방법 : 서면, 구술(출석), 정보통신망(팩스,전화, e-mail 등)
• 청문주재자의 주재하 에 청문실시
• 청문일 출석진술 (의견서로대체 가능)
• 청문주재자는 청문조서· 의견서 작성 후 행정청 제출
• 공청회 발표자 신청 및 공정한 선정 • 공청회 주재자의 주재 • 각계로부터 추천·신청받은
발표자의 발표, 질의·답변, 방청인의 의견제시
• 처리방법 : 제출된 의견이 상당한 이유가 있다고 인정하는 경우에는 이를 반영하여 처분
• 처리방법: 청문조서, 청문 주재자의 의견서 등을 충분히 검토하여 상당한 이유가 있다고 인정하는 경우에는 청문 결과를 반영 처분
• 처리방법: 공청회, 전자공청회 및 정보통신망 등을 통해서 제시된 사실 및 의견이 상당한
이유가 있다고 인정할 때 이를 반영하여 처분
[「행정절차법」의 의견청취제도] 행정안전부, 행정절차제도 실무 편람, 2021.1, 122쪽.

122∣
행정예고
• “행정예고”란 행정청이 영상정보처리기기의 설치·운영에 관한 정책, 제도 및 계획을 수립·시행하거나
변경하려는 경우 국민에게 미리 알려 이에 대비할 수 있는 시간적 여유를 제공하는 것을 말함(행정
절차법 제46조 제1항)
• 영상정보처리기기의 설치·운영에 관한 정책등의 수립·시행·변경 행정예고를 할 때에는 행정예고안의
주요내용, 진행절차, 담당자 및 홈페이지 주소 등을 명시하여 관보·공보나 인터넷·신문·방송 등을 통하여 공고하여야 하고, 홈페이지에는 예고내용의 구체적인 사항을 게재하여야 함(행정절차법 제47조 제1항, 시행령 제24조의3)
• 특히, 공공기관이 영상정보처리기기의 설치·운영에 대한 행정예고를 할 때에는 해당 영상정보처리
기기의 ① 설치 목적, ② 설치대수, ③ 설치장소, ④ 촬영 시간 및 범위, ⑤ 영상정보처리기기 운영
기관 등을 공고하여야 할 필요가 있음. 그런데, 행정예고를 하는 경우에는 이에 앞서 해당 영상정보
처리기기의 설치·운영에 관한 정책·제도 및 계획의 내용을 관계기관의 장에게 송부하여 그 의견을
들어야 하고, 의견회신기간은 10일 이상이 되도록 하여야 함(행정절차법 시행령 제24조의2)
• 행정예고는 예고내용의 성격 등을 고려하여 그 기간을 정하되, 특별한 사정이 없으면 20일 이상으로
함(행정절차법 제46조 제3항). 행정예고기간 중에는 누구든지 행정예고된 영상정보처리기기의 정책
등에 대하여 의견을 그 제출기간 내에 제출할 수 있음. 행정청은 제출된 의견을 특별한 사정이 없는 한
존중하여 처리하고, 그 처리결과 및 처리 이유 등을 지체없이 의견제출자에게 통지하거나 공표하며,
인터넷 등을 통해 공고하여야 함(행정절차법 제47조 제2항)
╶ 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를
설치·운영하려는 자는 관계 전문가 또는 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있는
‘수용자’, 보호받고 있는 사람 또는 그 사람의 보호자 등 이해관계인의 의견을 수렴하여야 함

◈ “수용자”란 수형자·미결수용자·사형확정자 등 법률과 적법한 절차에 따라 교도소·구치소 및
그 지소에 수용된 사람을 말함
영상정보처리기기의 설치·운영 안내
╶ 영상정보처리기기를 설치·운영하는 “영상정보처리기기운영자”는 정보주체가 쉽게 알아볼 수
있도록 다음의 사항이 포함된 안내판을 설치하여야 함 다만,「군사기지 및 군사시설 보호법」
제2조 제2호에 따른 군사시설 “군사시설”이란 전투진지, 군사목적을 위한 장애물, 폭발물 관련 시설, 사격장, 훈련장, 군용전기통신설비, 군사목적을 위한 연구시설 및 시험시설·시험장, 그 밖에 군사목적에 직접 공용(供用)되는 시설로서 대공방어시설,
군용통신시설, 군용부두 및 전쟁장비·물자의 생산·저장시설을 말한다(군사기지 및 군사시설보호법 제2조 제2호,
시행령 제2조).
,「통합방위법 제2조 제13호에 따른 국가중요시설 “국가중요시설”이란 공공기관, 공항·항만, 주요 산업시설 등 적에 의하여 점령 또는 파괴되거나 기능이 마비될 경우 국가안보와 국민생활에 심각한 영향을 주게 되는 시설을 말한다(통합방위법 제2조 제13호).

,「보안업무
규정」제32조에 따라 국가정보원장이 지정하는 국가보안시설에 대하여는 안내판 설치 의무가
면제됨
안내판에 기재하여야 할 사항
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자의 성명(직책) 및 연락처
4. (영상정보처리기기 설치·운영 사무를 위탁하는 경우) 수탁자의 명칭 및 연락처
[안내판 설치 (예시)]

※ 안내판에 CCTV 그림을 표시하여 정보주체가 쉽게 알아볼 수 있도록 하는 것이 바람직함

조 문
위반행위
벌칙수준
제75조 제4항 제3호
제25조 제4항을 위반하여 안내판 설치 등 필요한 조치를 하지 아니한 자
1천만원 이하 과태료

 

사례8 : CCTV 안내문에 꼭 책임자 이름을 넣어야 하는지?(표준 해석례 58)
근무중인 사업장에 CCTV 설치 안내문을 부착하려고 하는데, 항목 중 책임자 정보는 부서명만
기입해도 되나요? 담당자가 자주 바뀌는 상황이라면 혹시 부서명과 전화번호만 기입해도 되는지
궁금합니다.
답변 : CCTV 안내판 설치 시 관리책임자의 성명 또는 직책을 기입해야 함
• 「개인정보 보호법」제25조 제4항 및 표준지침 제39조에 따라 영상정보처리기기운영자는 정보
주체가 영상정보처리기기가 설치·운영 중임을 쉽게 알아볼 수 있도록 설치목적 및 장소,
촬영범위 및 시간, 관리책임자의 성명 또는 직책 및 연락처, 영상정보처리기기 설치·운영에
관한 사무를 위탁하는 경우 수탁자의 명칭 및 연락처 등을 기재한 안내판을 설치하여야 함
- 따라서, 안내판 설치 시 관리책임자의 성명 또는 직책을 기입해야 하고 부서명과 전화번호만
기입하는 것은 허용되지 않음
╶ 영상정보처리기기운영자가 설치·운영하는 영상정보처리기기가 다음의 어느 하나에 해당하는
경우에는 안내판 설치를 갈음하여 영상정보처리기기운영자의 인터넷 홈페이지에 안내판에
기재하여야 할 사항을 게재할 수 있음
안내판 설치에 갈음하여 인터넷 홈페이지에 게재할 수 있는 요건
• 공공기관이 원거리 촬영, 과속·신호위반 단속 또는 교통흐름조사 등의 목적으로 영상정보
처리기기를 설치하는 경우로서 개인정보 침해의 우려가 적은 경우
• 산불감시용 영상정보처리기기를 설치하는 경우 등 장소적 특성으로 인하여 안내판을 설치하는
것이 불가능하거나 안내판을 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우
╶ 인터넷 홈페이지에 안내판에 기재하여야 할 사항을 게재할 수 없으면 영상정보처리기기운영자는
다음의 어느 하나 이상의 방법으로 안내판에 기재하여야 할 사항을 공개하여야 함

안내판 설치에 갈음하여 인터넷 홈페이지 외에 사항을 공개하는 방법
1. 영상정보처리기기운영자의 사업장·영업소·사무소·점포 등의 보기 쉬운 장소에 게시하는 방법
2. 관보(영상정보처리기기운영자가 공공기관인 경우만 해당한다)나 영상정보처리기기운영자의
사업장등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」
제2조 제1호 가목·다목 또는 같은 조 제2호에 따른 일반일간신문·일반주간신문 또는 인터넷
신문에 싣는 방법
╶ 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 설치하며 안내판의 크기나 위치는
자율적으로 정하되, 정보주체가 쉽게 인식할 수 있도록 다음의 사항을 주의하면서 설치하여야 함. 영상정보처리기기운영자가 서로 다른 경우에는 같은 장소 또는 건물이라고 하더라도 영상정보
처리기기운영자마다 안내판을 각각 설치하여야 함
안내판 설치 시 주의사항
1. 안내판은 정보주체가 쉽게 알아볼 수 있는 출입구, 정문 등 눈에 잘 띄는 장소에 설치해야 함
2. 건물 내, 공원 등 설치 장소에 따라 정보주체가 쉽게 판독할 수 있도록 안내판의 글자 크기와
높이를 조절하여 설치해야 함
3. 외국인이 자유 이용하는 장소인 경우에는 한국어와 외국어로 병기하는 것이 바람직함
안내판 설치 장소 (예시)
• 건물 : 건물 1층 출입구 또는 정문, 기타 사람들의 이동이 빈번한 각 층의 출입구, 안내데스크
등 눈에 잘 띄는 곳
• 건물 외의 장소(공원 등) : 각 출입구, 기둥 또는 시설물 등 눈에 잘 띄는 곳
• 상가 : 주(主)출입문 계산대 등 눈에 잘 띄는 곳
• 버스 등 대중교통 : 승하차 출입문, 버스내 노선도 옆 등 승객의 눈에 잘 띄는 곳
• 택시 : 보조석 앞, 좌석 머리받침 뒤편 등 승객의 눈에 잘 띄는 곳
• 주차장 : 입구, 정산소, 주차장 내 기둥 등 눈에 잘 띄는 곳
126∣

╶ 공공기관의 장이 기관 내 또는 기관 간에 영상정보처리기기의 효율적 관리 및 정보 연계 등을
위해 용도별·지역별 영상정보처리기기를 물리적·관리적으로 통합하여 설치·운영하는 경우
에는 설치목적 등 통합관리에 관한 내용을 정보주체가 쉽게 알아볼 수 있도록 안내판에 기재하
여야 함
사례9 : CCTV 촬영 안내문은 CCTV마다 부착해야 하는지?(표준 해석례 57)
의료기관입니다. 복도·출입구·계단 등 공용공간에 CCTV가 100기 가량 설치되어 있습니다.
영상정보처리기기 운영·관리 방침에 따라 CCTV 촬영 안내판을 부착할 경우 설치장소마다 부착
해야 되는지요?
답변 : 정보주체가 쉽게 알아 볼 수 있는 출입구나 정문, 안내데스크 주변 등에 대표로
1개의 안내판만 부착할 수도 있음
• 「개인정보 보호법」제25조 제4항 및 표준지침 제39조에 따라 영상정보처리기기운영자는
정보주체가 영상정보처리기기가 설치·운영 중임을 쉽게 알아볼 수 있도록 설치목적 및 장소,
촬영범위 및 시간, 관리책임자의 성명 또는 직책 및 연락처, 영상정보처리기기 설치·운영에
관한 사무를 위탁하는 경우 수탁자의 명칭 및 연락처 등을 기재한 안내판을 설치하여야 함
- 보호법 시행령 제24조 제1항 단서에 따라 건물 내 여러 대의 CCTV를 설치한 경우 정보
주체가 쉽게 알아 볼 수 있도록 출입구나 정문, 안내데스크 주변 등에 해당 시설 또는 장소
전체가 영상정보처리기기 설치지역임을 표시하는 안내판을 대표로 1개만 부착할 수도
있음
사례10 : CCTV로 모니터링만 해도 의무규정을 준수해야 하는지?(표준 해석례 60)
최근 공연장 내부에 무대 및 객석 안전관리용으로 CCTV를 설치하였는데, 알아보니 관리자를
선임하고 대장을 만들어 정보를 관리해야 하는 등 법적조치 사항들이 많더군요. 그래서 실시간
모니터링으로만 사용하고 녹화기능은 꺼놓으면 법적으로는 문제가 없는 건가요?
Ⅴ. 영상정보처리기기의 설치·운영의 제한∣127
답변 : CCTV로 모니터링만 하고 녹화하지 않더라도 의무규정을 준수해야 함
• 공연장처럼 공개된 장소의 경우「개인정보 보호법」제25조 제1항에 따라 누구든지 법령에서
구체적으로 허용하고 있는 경우, 범죄예방 및 수사, 시설안전 및 화재예방 등의 목적으로 영상
정보처리기기(CCTV)를 설치·운영할 수 있음
- 이 경우 법 제25조에 규정된 안내판 설치, 안전성 확보조치, 처리방침의 공개 등을 준수하여야
하며, 법 제35조에 따른 정보주체의 열람에 응해야 함. 위반시 과태료에 해당함
- 한편, 모니터링만 하고 녹화하지 않더라도 영상정보처리기기에 정보가 일시 저장·전송되는
경우 개인정보 처리에 해당하므로 「개인정보 보호법」제25조에 따른 의무를 준수해야 함

5. 영상정보처리기기운영자의 의무
임의조작 및 녹음기능 사용금지
◈ “조작”이란 영상정보처리기기를 회전시키거나 영상을 확대 또는 축소하는 등 촬영 범위나
대상을 인위적으로 변경시키는 행위를 말함
╶ 영상정보처리기기운영자는 영상정보처리기기의 설치목적과 다른 목적으로 영상정보처리
기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없음
╶ 영상정보처리기기의 임의 조작을 금지하는 것은 사생활을 침해할 우려가 있기 때문임. 또한,
녹음기능의 사용을 금지하고 있는 것은 일정한 장소에 지속적으로 설치·운영되고 있는 영상
정보처리기기가 음성이나 음향을 녹음하는 기능을 갖추는 경우 사람 사이의 대화를 녹음하게
되는데, 이것은 다른 사람 사이의 대화를 청취하거나 녹음하는 것을 금지하고 있는 「통신비밀
보호법」(제3조 제1항·제14조)을 위반하는 것이기 때문임

조 문
위반행위
벌칙수준
제72조 제1호
제25조 제5항을 위반하여 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른곳을 비추는 자 또는 녹음기능을 사용한 자
3년 이하의 징역 / 3천만원 이하의 벌금

128∣
개인영상정보의 안전성확보조치의무
╶ 영상정보처리기기운영자는 개인영상정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니
하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적
조치를 하여야 함
개인영상정보에 대한 안전성 확보조치의 내용
1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
① 개인영상정보 관리책임자 지정
② 개인영상정보 관리책임자 및 취급자의 역할 및 책임에 관한 사항
③ 안전성확보조치에 관한 사항
④ 개인영상정보취급자 교육
⑤ 그 밖에 개인영상정보의 안전성 확보에 필요한 조치에 관한 사항
2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용 (네트워크 카메라의 경우
안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)
4. 처리기록의 보관 및 위조·변조 방지를 위한 조치 (개인영상정보의 생성 일시 및 열람할
경우에 열람 목적·열람자·열람 일시 등 기록·관리 조치 등)
5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치

조 문
위반행위
벌칙수준
제73조 제1호
제25조 제6항을 위반하여 개인정보에 대한 안전성 확보에 필요한 조치를 하지 아니하여 개인영상정보를 분실·도난·유출·위조·변조 또는 훼손당한 영상정보처리기기운영자
2년 이하의 징역 / 2천만원 이하의 벌금
제73조 제2항 제6호
제25조 제6항을 위반하여 개인영상정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하지 아니한 영상정보처리기기운영자
3천만원 이하 과태료

Ⅴ. 영상정보처리기기의 설치·운영의 제한∣129
사례11 : CCTV 영상을 노트북에 송출하여 직원 근태관리를 해도 되는지?(표준 해석례 59)
안녕하십니까? 모 대학에서 근무하는 경비원입니다. 이 곳은 경비 실장을 포함하여 4명이 격일제로
근무하는데, 경비 실장이 본인 노트북에 CCTV 프로그램을 설치하여 퇴근후에도 집에서 근태를
확인하고 있습니다. 혹시, 법 위반이 아닌지요?
답변 : 개인 노트북으로 근태를 확인하려면 안전성 확보조치 및 노사협의 등이 필요함
• 「개인정보 보호법」제25조 제6항에 따라 영상정보처리기기 운영자는 개인정보가 분실·도난·
유출·위조·변조 또는 훼손되지 아니하도록 같은 법 제29조에 따라 안전성 확보에 필요한
조치를 하여야 함
- 따라서, 영상정보처리기기 운영자는 관리책임자 및 접근권한자를 지정하고, 개인정보
취급자별 사용자 계정 발급, 비밀번호 설정, 인가받지 않은 자에 의한 외부접속 차단 등의
접근통제 조치도 취해야 하며, 접근 권한이 없는 자가 임의적 접근 및 조작을 하지 못하도록
모니터링 화면 옆이나 영상정보처리기기 본체에 안내판을 부착하여야 함. 위반시 과태료에
해당함(영 제30조 및 표준지침 제3장)
- 따라서 경비실장 개인 노트북에 CCTV 프로그램을 설치하여 근태를 확인하려면 안전성
확보조치 및 개인정보가 유출되지 않도록 주의 필요
- 또한, CCTV로 근태를 관리하기 위해서는 「근로자참여 및 협력증진에 관한 법률」제20조
제14호에 따라 노사 협의 후 설치하거나 「노동조합 및 노동관계조정법」제31조에 따라
노사가 체결한 단체협약에 근거를 마련하여야 함
영상정보처리기기 운영·관리 방침의 수립 및 공개
╶ 영상정보처리기기운영자는 다음의 사항이 포함된 ‘영상정보처리기기 운영·관리 방침’을
마련하여야 함. 시행령 제27조, 표준지침 제36조는 영상정보처리기기 운영·관리 지침으로 규정하고 있지만, 법률에서 영상정보
처리기기 운영·관리 방침으로 규정하고 있으므로 아래에서는 법률에 따라 “영상정보처리기기 운영·관리 방침”으로
표시한다.

‘영상정보처리기기 운영·관리 방침’을 마련한 경우에는 ‘개인정보 처리
방침’을 정하지 아니하거나 영상정보처리기기 설치·운영에 관한 사항을 ‘개인정보 처리방침’에
포함하여 정할 수 있음
130∣
영상정보처리기기 운영·관리 방침의 필수 사항
1. 영상정보처리기기의 설치 근거 및 설치 목적
2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
6. 정보주체의 영상정보 열람 등 요구에 대한 조치
7. 영상정보 보호를 위한 기술적·관리적 및 물리적 조치
8. 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항
╶ ‘영상정보처리기기 운영·관리 방침’을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할
수 있도록 다음과 같은 방법에 따라 공개하여야 함
영상정보처리기기 운영·관리 방침의 공개방법
• 인터넷 홈페이지에 지속적으로 게재
• 인터넷 홈페이지 게재할 수 없는 경우에는 다음의 어느 하나 이상의 방법으로 수립하거나
변경한 영상정보처리기기 운영·관리 방침을 공개하여야 함
1. 영상정보처리기기운영자의 사업장·영업소·사무소·점포 등의 보기 쉬운 장소에 게시하는
방법
2. 관보(영상정보처리기기운영자가 공공기관인 경우만 해당한다)나 영상정보처리기기
운영자의 사업장등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의
진흥에 관한 법률」 제2조 제1호 가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반
주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지
또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 영상정보처리기기운영자와 정보주체가 작성한 계약서
등에 실어 정보주체에게 발급하는 방법
Ⅴ. 영상정보처리기기의 설치·운영의 제한∣131

개인영상정보 관리책임자의 지정
◈ “개인영상정보 관리책임자”란 개인영상정보의 처리에 관한 업무를 총괄해서 책임지는 자를
말함
╶ 영상정보처리기운영자는 다음과 같은 업무를 수행하는 개인영상정보 관리책임자를 지정하여야
함. 개인영상정보 관리책임자는 개인정보 보호책임자의 지정요건을 준용하여 지정함. 다만,
개인정보 보호책임자가 지정되어 있는 경우에는 그 개인정보 보호책임자가 개인영상정보 관리
책임자의 업무를 수행할 수 있음
개인영상정보 관리책임자의 업무
1. 개인영상정보 보호 계획의 수립 및 시행
2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제
4. 개인영상정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인영상정보 보호 교육 계획 수립 및 시행
6. 개인영상정보 파일의 보호 및 파기에 대한 관리·감독
7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무
사례12 : 공동주택 관리를 위해 설치한 CCTV를 모니터링해도 되는지?(표준 해석례 54)
아파트 내 무단 폐기물 투기, 시설물 파손 등의 책임소재 확인과 관리규약에 따른 위반금 부과를 위해 관리사무실에서 CCTV를 확인하는 것이 정상적인 업무 범위에 해당하는 것인지 알고 싶습니다.
답변 : 관리책임자를 지정하여 설치목적 범위 내에서 영상을 모니터링할 수 있음
• 공동주택처럼 공개된 장소의 경우「개인정보 보호법」제25조 제1항에 따라 누구든지 법령에서
구체적으로 허용하고 있는 경우, 범죄예방 및 수사, 시설안전 및 화재예방 등의 목적으로

132∣
개인영상정보의 목적 외 이용 및 제3자 제공
╶ 영상정보처리기기운영자는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하는
경우에는 ‘수집 목적 외 이용·제3자 제공 요건’ 가운데 어느 하나에 해당하는 경우에만 개인영상
정보를 수집 목적 외의 용도로 이용하거나 제3자에게 제공할 수 있음
개인영상정보의 수집 목적 외 이용·제3자 제공 요건
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전
동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 개인영상정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보 보호위원회의 심의·의결을 거친 경우
5. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한
경우
6. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
7. 법원의 재판업무 수행을 위하여 필요한 경우
8. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
※ 제4호부터 제8호까지의 경우는 공공기관의 경우로 한정함
사례13 : CCTV 사고영상을 직원 교육에 이용해도 되는지? (표준 해석례 29)
저희 병원에서 범죄 예방 및 시설안전 목적으로 설치해둔 CCTV에 안전사고가 발생할 뻔한 모습이
촬영되었는데요, 직원들의 사고예방 교육을 위해 이 영상을 이용해도 될까요?
영상정보처리기기(CCTV)를 설치·운영할 수 있으며, 영 제25조 등에 따라 관리책임자 및
접근권한 보유자를 지정하여 설치목적 범위 내에서 영상을 모니터링할 수 있음
- 다만, 관리규약에 따른 위반금 부과 목적으로 CCTV를 설치할 수 없음
답변 : 정보주체의 동의를 받아 영상정보를 사고예방 교육에 이용할 수 있음. 다만, 개인을 알아볼 수 없도록 비식별조치하는 것이 바람직
• 「개인정보 보호법」제18조 제2항 제1호에 따라 개인정보처리자는 정보주체로부터 동의를
받은 경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는
개인정보를 목적 외 이용하거나 제3자에게 제공할 수 있음
- 범죄예방 목적으로 설치한 CCTV를 통해 수집한 영상을 직원들 사고예방 교육을 위하여
이용하려면 해당 정보주체의 동의를 받아야 함
- 다만, 사고 영상이 공개될 경우 예상치 못하게 정보주체의 이익을 부당하게 침해할 우려가
있으므로 정보주체를 알아볼 수 없도록 비식별조치 하여 이용하는 방안이 더욱 바람직함
- 참고로, 개인을 식별할 수 없도록 촬영된 영상의 경우 개인정보가 아니므로 개인정보보호법의
적용을 받지 않음
사례13 : 청사 CCTV 영상을 기관 자체감사에 이용해도 되는지?(표준 해석례 33)
소속 공무원의 출장여비 및 초과근무수당의 부당수령 등에 대한 제보나 의심 정황 발생 시, 제보
내용의 진위여부를 확인하기 위해 청사에 방호 목적으로 설치된 CCTV 영상정보를 이용할 수
있는지?
답변 : 민간은 소속 직원의 동의 또는 노사협의를 통해 처리할 수 있으나, 공공기관은 공공 감사법에 근거하여 청사의 CCTV 영상을 자체감사에 이용할 수 있음
• (민간) 「개인정보 보호법」제18조 제2항 제1호에 따라 정보주체의 동의를 받아 개인정보를
목적외 이용 및 제3자 제공할 수 있으므로 소속직원으로부터 동의를 받아 CCTV 영상정보를
자체감사에 이용할 수 있으며, 노사협의를 통해 처리할 수 있음
• (공공) 「개인정보 보호법」제18조 제2항 제2호에 따라 법률의 특별한 규정이 있는 경우 정보
주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외
이용하거나 제3자에게 제공할 수 있음
134∣
사례14 : 공동주택 승강기 내부 CCTV 영상을 입주민이 열람해도 되는지?(표준 해석례 37)
아파트 입주민이 본인 이외 특정시간대 승강기 내부 이용자의 상태를 확인하기 위하여 영상정보
열람 등을 요구하고 있으며, 관리사무소에서는 동의가 필요한 사항으로 경찰관 입회하에 검색이
가능하다고 통보하고 있는데, 적절한 처리인지요?
답변 : 정보주체의 동의를 받지 않은 상태에서 경찰관 직무집행법을 근거로 경찰 입회하에 영상정보를 열람할 수 없음
• 「개인정보보호법」 제35조 제1항에 따라 정보주체는 자신의 개인정보 열람을 해당 영상정보
처리기기운영자에게 요구할 수 있으며, 같은 법 제18조 제2항에 따라 정보주체로부터 동의를
받은 경우 등에는 개인정보를 목적 외 이용하거나 제3자에게 제공할 수 있음
- 따라서, 관리사무소는 해당 CCTV 영상에 수록된 정보주체의 동의를 받아 열람을 허용하되,
관리사무소에서 관련 영상을 먼저 확인 후 해당 부분에 대해서만 열람하도록 하여 열람을
필요 최소한으로 제한해야 함
- 한편, 경찰이 「경찰관 직무집행법」제8조 제1항 따른 사실확인을 하기 위해 현장에 입회한
사실만으로 정보주체의 동의를 받지 않은 제3자에게 영상정보를 열람하도록 할 근거는 되지 않음
개인영상정보의 파기
╶ 영상정보처리기기운영자는 설치한 영상정보처리기기를 통하여 수집한 개인영상정보를 ‘영상
정보처리기기 운영·관리방침’에서 명확하게 제시하고 있는 보관기간동안만 보관하여야 함.

개인영상정보의 보관기간이 만료한 때에는 지체없이 파기하여야 함. 다만, 다른 법령에 특별한
규정이 있는 경우에는 그 보관기간 동안 보관한 후, 그 보관기간이 끝나면 즉시 파기하여야 함
개인영상정보의 파기 방법
1. 개인영상정보가 기록된 출력물(사진 등) 등은 파쇄 또는 소각
2. 전자기적(電磁氣的) 파일 형태의 개인영상정보는 복원이 불가능한 기술적 방법으로 영구
삭제
사례15 : 키즈카페는 CCTV 영상을 며칠간 보관해야 하나요?(표준 해석례 62)
안녕하세요? 찾아보니 일반 상가 또는 가게의 CCTV는 최대 30일까지 보관가능이라고 되어 있고,
유치원 어린이집 같은 경우 60일로 되어 있던데, 키즈카페(어린이 놀이카페) 같은 경우에는
CCTV가 최대 며칠까지 법적으로 보관 가능한지 궁금합니다.
답변 : 보유목적 달성을 위한 최소한의 기간동안 보관하되, 보유기간 산정이 어려운 경우 30일 이내 보관함
• 「개인정보 보호법」제25조 제7항 및 시행령 제25조에 따라 영상정보처리기운영자는 영상
정보처리기기의 설치근거, 촬영기간, 보관기간 등을 내용으로 하는 영상정보처리기기 운영·
관리 방침을 마련하여야 하며, 이때 보관기간은 보유목적의 달성을 위한 최소한의 기간으로
설정하면 됨
- 표준개인정보보호지침 제41조 제2항에 따라 보유목적의 달성을 위한 최소한의 기간을
산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 할 수 있음
- 한편, 「영유아 보육법」 제15조의4 제3항에 어린이집을 설치·운영하는 자는 CCTV에
기록된 영상정보를 60일 이상 보관하도록 하고 있는바, 이와 같이 다른 법령에서 영상
정보의 보관기간이 특별히 규정되어 있는 경우에는 그에 따라야 함
136∣
개인영상정보 관리대장의 작성 및 관리
╶ 영상정보처리기기운영자는 개인영상정보를 수집목적 이외로 이용하거나 제3자에게 제공하는
경우에는 다음의 사항을 기록하고 관리하여야 함
개인영상정보 관리대장 필수 사항
1. 개인영상정보 파일의 명칭
2. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭
3. 이용 또는 제공의 목적
4. 법령상 이용 또는 제공근거가 있는 경우 그 근거
5. 이용 또는 제공의 기간이 정하여져 있는 경우에는 그 기간
6. 이용 또는 제공의 형태
╶ 개인영상정보를 파기할 때에는 다음의 사항을 반드시 기록하고 관리하여야 함
개인영상정보 파기 시 기록·관리 사항
1. 파기하는 개인영상정보 파일의 명칭
2. 개인영상정보 파기 일시 (사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및
자동 삭제 여부에 관한 확인 시기)
3. 개인영상정보 파기 담당자
╶ 영상정보처리기기운영자는 정보주체가 개인영상정보에 대한 열람등 요구 또는 열람 후 파기
요구를 한 경우에는 그에 대한 조치사항과 내용을 기록·관리하여야 함
정보주체의 개인영상정보 열람등 요구시 기록사항
1. 개인영상정보 열람등을 요구한 정보주체의 성명 및 연락처
2. 정보주체가 열람등을 요구한 개인영상정보 파일의 명칭 및 내용
3. 개인영상정보 열람등의 목적
4. 개인영상정보 열람등을 거부한 경우 그 거부의 구체적 사유
5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유

영상정보처리기기운영자는 위의 사항을 ‘개인영상정보 관리대장’에 기록하고 관리하여야 함
[개인영상정보 관리대장 (양식)]

번호
구분
일시
파일명/
형태
담당자
목적/
사유
이용·제공받는
제3자 /열람등
요구자
이용·
제공
근거
이용·
제공
형태
기간
1
□ 이용
□ 제공
□ 열람
□ 파기

 

 

 

2
□ 이용
□ 제공
□ 열람
□ 파기

 

 

 

개인영상정보 관리대장

영상정보처리기기의 설치·운영 사무의 위탁
╶ 영상정보처리기기운영자는 영상정보처리기기의 설치·운영에 관한 사무를 제3자에게 위탁할 수
있음. 영상정보처리기기의 설치·운영에 관한 사무를 위탁하는 경우에는 다음의 내용이 포함된
문서로 하여야 함 다만, 민간기업·단체·개인이 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우에는 위탁방법 등에 관하여 특별한 제한을 두고 있지 않으므로, 결과적으로는 법 제26조(업무위탁에 따른 개인정보의 처리 제한)의 규정
이 적용된다.

138
영상정보처리기기의 설치·운영 사무 위탁계약서의 필수 사항
1. 위탁하는 사무의 목적 및 범위
2. 재위탁 제한에 관한 사항
3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
4. 영상정보의 관리 현황 점검에 관한 사항
5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
╶ 영상정보처리기기 설치·운영 사무를 위탁한 경우 인터넷 홈페이지에 위탁하는 사무의 내용과
수탁자를 지속적으로 게재하여야 함. 다만, 인터넷 홈페이지에 게재할 수 없는 경우에는 다음의
어느 하나 이상의 방법으로 위탁하는 사무의 내용과 수탁자를 공개하여야 함

영상정보처리기기 설치·운영 위탁 사무 내용 및 수탁자 공개 방법
• 인터넷 홈페이지에 지속적으로 게재
• 인터넷 홈페이지 게재할 수 없는 경우에는 다음의 어느 하나 이상의 방법으로 수립하거나
변경한 영상정보처리기기 운영·관리 방침을 공개하여야 함
1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시·도 이상의
지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조 제1호 가목·다목
및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는
청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게
발급하는 방법
╶ 위탁자는 사무 위탁으로 인하여 정보주체의 개인영상정보가 분실·도난·유출·위조·변조 또는
훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 수탁자가 개인영상정보를 안전하게
처리하고 있는지를 관리·감독하여야 함
139
╶ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나
제3자에게 제공하는 것은 금지됨

개인영상정보처리기기의 설치·운영에 대한 점검
╶ 영상정보처리기기를 설치·운영하는 공공기관의 장은 다음의 사항을 고려하여「(개인정보보호
위원회) 표준 개인정보 보호지침」의 준수 여부에 대한 자체점검을 실시하여 다음 해 3월 31일까지 그 결과를 개인정보 보호위원회에게 통보하고 “개인정보보호 종합지원시스템”(https://intra.privacy.go.kr/)에 등록하여야 함. 공공기관의 장은 영상정보처리기기 설치·운영에 대한 자체 점검을 완료한 후에는 그 결과를 홈페이지 등에 공개하여야 함
※ 공공기관 외의 영상정보처리기기운영자는 영상정보처리기기 설치·운영으로 인하여 정보주체의
개인영상정보의 침해가 우려되는 경우에는 자체점검 등 개인영상정보의 침해 방지를 위해 적극
노력하여야 함
자체점검 시 고려 사항
1. 영상정보처리기기의 운영·관리 방침에 열거된 사항
2. 영상정보처리기기 관리책임자의 업무 수행 현황
3. 영상정보처리기기의 설치 및 운영 현황
4. 개인영상정보 수집 및 이용·제공·파기 현황
5. 위탁 및 수탁자에 대한 관리·감독 현황
6. 정보주체의 권리행사에 대한 조치 현황
7. 기술적·관리적·물리적 조치 현황
8. 영상정보처리기 설치·운영의 필요성 지속 여부 등
6. 정보주체의 개인영상정보 열람 등 요구에 대한 대응
개인영상정보의 열람등 요구 대상 및 방법
╶ 정보주체는 자신이 촬영된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의
이익을 위하여 필요한 개인영상정보에 대하여 영상정보처리기기운영자에게 열람 또는 존재
140∣
확인을 요구할 수 있음. 열람 등을 요구할 때에는 정보주체가 ‘개인영상정보 열람·존재확인
청구서’를 작성하여 해당 개인영상정보를 보유하고 있는 영상정보처리기기운영자에게 개인
영상정보의 열람등을 요구하여야 함
개인영상정보의 열람등 요구에 대한 본인등 확인 및 조치의무
╶ 열람등 요구를 받은 영상정보처리기기운영자는 반드시 열람 등 요구를 한 사람이 본인 또는
정당한 대리인인지를 주민등록증·운전면허증·여권 등의 신분증명서를 제출받아 확인하여야
함. 본인 또는 정당한 대리인 여부를 확인한 후 지체없이 요구받은 개인영상정보의 열람 또는
존재확인을 위한 조치를 취하여야 함
※ 다만, 공공기관의 경우에는 행정정보의 공동이용을 통하여 본인 또는 정당한 대리인 여부를 확인
할 수 있는 경우에는 행정정보의 공동이용을 통하여 확인하여야 함. 그렇지만, 해당 공공기관이
행정정보의 공동이용을 할 수 없거나 정보주체가 확인에 동의하지 아니하는 경우에는 그러하지
아니함
사례16 : 차량사고 관련하여 보험회사에 CCTV 영상을 제공해도 되는지? (표준 해석례 38)
공영주차장에서 발생된 차량 간 사고 확인을 위해 차주(정보주체)의 보험사에서 열람 요청시
영상자료 열람 및 제공이 가능한지 궁금합니다.
답변 : 정보주체는 대리인을 통해 개인정보를 열람할 수 있음
• 「개인정보보호법」 제35조 제1항에 따라 정보주체는 자신의 개인정보 열람을 해당 영상정보
처리기기운영자에게 요구할 수 있으며, 제18조 제2항에 따라 정보주체로부터 동의를 받은
경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인
정보를 목적 외 이용하거나 제3자에게 제공할 수 있음
- 또한, 보호법 제38조 제1항에 따라 정보주체는 개인정보 열람요구 등의 절차를 대리인을
통해 할 수 있으며, 이 때 대리인은 개인정보처리방법에 대한 고시(개인정보보호위원회
고시 제2020-7호) 별지 제11호 서식에 따른 위임장을 제출하여야 함
Ⅴ. 영상정보처리기기의 설치·운영의 제한∣141
개인영상정보 열람등 조치 시 주의사항
╶ 개인영상정보의 열람등을 요구받은 영상정보처리기기운영자가 개인영상정보의 열람등 조치를
취하는 경우에 정보주체 이외의 사람을 명백히 알아볼 수 있거나 정보주체 이외의 사람의 사생활
침해 우려가 있는 경우에는 열람등을 요구한 정보주체 이외의 사람의 개인영상정보를 알아볼
수 없도록 보호조치를 취하여야 함
╶ 영상정보처리기기운영자는 열람 등 요구를 하는 자에게 정보주체 이외의 사람을 알아볼 수
없게 하거나 사생활 침해 우려가 있는 영상을 알아볼 수 없도록 하는 등 필요한 보호조치를 하기
위하여 소요되는 수수료와 사본의 우송을 청구하는 경우 우송료를 청구할 수 있음
사례18 : CCTV 열람 신청시 모자이크 처리 비용은 누가 내야 하는지?(표준 해석례 67)
CCTV 열람 신청시 모자이크 처리 비용의 주체가 누구인지 알고 싶습니다. 신청인 부담인지,
CCTV운영 담당기관 부담인지 답변 부탁드립니다.
답변 : 열람에 드는 비용은 열람요구자가 부담함
• 「개인정보 보호법」제35조 제1항 및 표준 개인정보 보호지침 제44조 제1항에 따라 정보
주체는 영상정보 처리기기 운영자가 처리하는 개인영상정보에 대하여 열람 또는 존재확인을
해당 운영자에게 요구할 수 있도록 하였고, 이러한 요구를 받은 운영자는 지체없이 필요한
조치를 취해야 함
- 영상정보 처리기기 운영자는 사전에 공개한 열람절차와 방법에 따라 열람을 실시하되,
정보주체 이외의 자의 개인영상정보를 알아볼 수 없도록 모자이크 등 비식별조치를 취한 후
열람물을 제공해야 함
- 한편, 보호법 시행령 제47조에 개인(영상)정보처리자는 개인정보 열람요구를 한 정보
주체에게 필요한 실비의 범위에서 비용을 청구 할 수 있도록 하였으므로 열람요구자가
비용을 부담함
- 참고로, 시중에 보급된 비식별조치 프로그램을 활용하여 열람비용을 최소화하도록 권고함
142∣

사례19 : 아파트 입주자대표회의 회의영상을 공개해도 되는지?(표준 해석례 15)
당 아파트 관리규약에는 회의록과 회의결과를 지체없이 공개하고 개인정보보호법을 준수해야
한다고 명시되어 있습니다. 코로나19로 인해 입주민이 참관할 수 없었던 회의영상 공개를 요구
하였지만 개인정보보호법 때문에 안 된다고 합니다. 공개가 안 되는 게 맞는지?
답변 : 회의 영상을 촬영·공개하려면 정보주체의 동의를 받아야 함
• 「개인정보 보호법」 제17조 제1항 제2호에 따라 법률에 특별한 규정이 있거나 법령상 의무를
준수하기 위하여 불가피하게 개인정보를 수집한 경우 정보주체로부터 동의를 받지 않고 개인정보를 수집목적 범위 내에서 제3자에게 제공할 수 있음
- 「공동주택관리법」 제14조 제8항에 따라 입주자대표회의는 그 회의를 개최한 때에는 회의록을
작성하여 관리주체에게 보관하게 하고, 관리주체는 입주자등이 회의록의 열람을 청구할 경우 관리규약으로 정하는 바에 따라 이에 응하여야 함
- 한편, 회의록과 별개로 회의에서 영상을 촬영·공개하려면 보호법 제18조 제2항 제1호에
따라 정보주체로부터 동의를 받은 경우, 정보주체 또는 제3자의 이익을 부당하게 침해할
우려가 있을 때를 제외하고 개인정보를 목적 외 이용하거나 제3자에게 제공할 수 있음
- 따라서, 동의를 받지 못한 정보주체 등의 개인정보가 회의 중 영상을 타고 유출된 경우 법
제59조 제2호 또는 제3호 위반에 해당할 수 있으므로 회의영상의 공개시 주의가 요구됨

개인영상정보 열람등 요구의 거부
╶ 개인영상정보의 열람등 요구를 받은 영상정보처리기기운영자는 다음의 어느 하나에 해당하는
경우에는 그 열람등의 요구를 거부할 수 있고, 열람등 요구를 받은 날부터 10일 이내에 서면
등으로 거부 사유를 열람 등을 요구한 사람에게 통지하여야 함

개인영상정보 열람등 요구의 거부 요건
1. 범죄수사·공소유지·재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함)
2. 개인영상정보의 보관기간이 경과하여 파기한 경우
3. 그 밖에 정보주체의 열람등 요구를 거부할 만한 정당한 사유가 존재하는 경우

Ⅴ. 영상정보처리기기의 설치·운영의 제한∣143참 고
어린이집에서의 영상정보의 열람 방법 및 절차
어린이집에서 설치·관리되고 있는 CCTV에 의하여 촬영되고 있는 영상정보의 열람은 원칙적으로
금지됨. 다만, 다음의 어느 하나에 해당하는 경우에 한하여 열람하게 할 수 있음(영유아보육법
제15조의5 제1항)
<어린이집에서의 영상정보 열람 허용 사유>
1. 보호자가 자신의 자녀 또는 보호하고 있는 아동의 학대 또는 안전사고로 신체적·정신적
피해를 입었다고 의심되어 영상정보의 원본 또는 사본 등을 요청하는 경우
2. 국회사무처, 법원행정처, 헌법재판소 사무처, 중앙선거관리위원회 사무처, 중앙행정기관 및
소속기관, 지방자치단체 등이 법령에서 정하는 영유아의 안전업무 수행을 위하여 요청하는 경우
3. 범죄의 수사와 공소의 제기 및 유지, 법원의 재판업무 수행을 위하여 필요한 경우
4. 아동보호전문기관 또는 어린이집 안전공제회가 어린이집과 관련된 아동학대 사건, 안전
사고의 조사 및 처리와 관련하여 정당한 열람 권한이 있음을 증명하는 신분증, 공문서 등으로
영상정보의 열람을 요청하는 경우
• 보호자가 자녀 또는 보호아동의 안전을 확인하기 위하여 열람을 할 때에는 다음과 같은 절차에 따라 영상정보의 열람을 요청할 수 있음
<어린이집에서의 영상정보 열람 절차>
1. 열람요청
• 영상정보 열람 허용 사유 가운데 어느 하나에 해당하는 경우 CCTV 설치·관리자(어린이집 설치·운영자)에게 열람 요청
보호자가 영상정보 열람을 요청하는 경우 영상정보열람요청서 또는 의사소견서의 제출 필요
아동보호전문기관 또는 어린이집 안전공제회가 업무수행을 위하여 영상정보 열람을 요청하는 경우 정당한 열람 권한이 있음을 증명하는 신분증 또는 공문서 등의 제출 필요
2. 열람결정통지
• CCTV 설치·관리자는 ‘열람요청 거부사유’ 가운데 어느 하나에 해당하는 경우를 제외하고는 열람 요청을 받은 날부터 10일 이내에 열람 장소와 시간을 정하여 보호자에게 통지
다만, 아동보호전문기관 또는 어린이집 안전공제회가 업무수행을
위하여 열람을 요청하는 경우 열람요청 거부사유 가운데 어느 하나에 해당하는 경우를 제외하고는 즉시 열람 허용
144∣
3. 영상정보 열람
• CCTV 설치·관리자는 통지한 열람장소와 시간에 열람 허용할 것
열람을 요청한 보호자와 자녀 또는 보호아동과의 관계를 알 수 있는 가족관계증명서, 주민등록등본 등 서류나 증표를 제출받아 확인
정당한 열람권한이 있음을 증명하는 신분증 또는 공문서 등의 확인 열람조치사항 기록 및 관리
• CCTV 설치·관리자는「개인영상정보 관리대장」에 열람조치사항을 기록하고 관리
• 영상정보 열람 요청을 받은 CCTV 설치·관리자는 다음의 어느 하나에 해당하는 경우에는
그 열람 요청을 거부할 수 있으며, 이 경우 거부 사유를 열람 요청을 받은 날부터 10일 이내에
서면으로 보호자에게 통지하여야 함
<영상정보 열람 요청 거부 사유>
1. 「영유아보육법」제15조의4 제3항에 따른 보관기간이 지나 영상정보를 파기한 경우
2. 그 밖에 정당한 사유가 있다고 보건복지부장관이 인정하는 경우

개인영상정보의 파기 요구 및 조치
╶ 정보주체는 영상정보처리기기운영자에게 정보주체 자신의 개인영상정보에 대한 파기를 요구하는 때에는 열람등 대상이 되는 개인영상정보에 대하여만 그 파기를 요구할 수 있음. 영상정보처리 기기운영자가 해당 파기조치를 취한 경우에는 그 내용을 ‘개인영상정보 관리대장’에 기록하고 관리하여야 함
개인영상정보관리대장의 기록 및 관리
╶ 영상정보처리기운영자가 개인영상정보의 열람등 요구에 대한 조치를 하거나 요구에 대하여
거부를 한 때에는 ‘개인영상정보 관리대장’에 다음의 사항을 기록하고 관리하여야 함

개인영상정보 열람 등 요구에 대한 조치 또는 거부 시 기록·관리 사항
1. 개인영상정보 열람등을 요구한 정보주체의 성명 및 연락처
2. 정보주체가 열람등을 요구한 개인영상정보 파일의 명칭 및 내용
3. 개인영상정보 열람등의 목적
4. 개인영상정보 열람등을 거부한 경우 그 거부의 구체적 사유
5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유

공개된 장소에 설치된 영상정보처리기기에 대한 법 적용의 일부 제외
╶ 공개된 장소에 영상정보처리기기를 설치·운영하여 처리되는 개인정보에 대하여는 제15조(개인
정보의 수집·이용), 제22조(동의를 받는 방법), 제27조 제1항·제2항(영업양도 등에 따른 개인정보의 이전 제한), 제34조(개인정보 유출 통지 등) 및 제37조(개인정보의 처리정지 등)를
적용하지 않음

법적용의 일부제외
• 제15조(개인정보의 수집·이용) 정보주체에 대한 개인정보 수집·이용 고지 및 동의획득 의무
⇒ 안내판 설치 등의 의무로 대체
• 제22조(동의를 받는 방법) 정보주체에게 각각의 동의사항을 구분하여 알리고 개별적으로
동의 ⇒ 공개된 장소에 설치된 영상정보처리기기는 불특정 다수의 특성상 동의곤란
• 제27조(영업양도 등에 따른 개인정보의 이전 제한) 영업의 양도·합병시 통지의무 ⇒ 불특정
다수의 특성상 통지 곤란
• 제34조(개인정보 유출 통지 등) 개인정보 유출사고 발생시 정보주체에 대한 통지 및 관계
기관에 대한 신고의무 ⇒ 불특정 다수의 특성상 통지 곤란
• 제37조(개인정보의 처리정지 등) 개인정보처리자가 처리하고 있는 자신의 개인정보에 대한
처리정지 요구 ⇒ 특정 정보주체만 처리정지 불가

╶ 다만, 공개된 장소에서 영상정보처리기기를 설치·운영하여 개인정보를 수집하는 행위가 다음의
어느 하나에 해당하는 경우에는 영상정보처리기기운영자가 수집목적 범위 내에서 개인영상
정보를 제3자에게 제공하는 것은 가능함

개인영상정보의 제공 요건
• 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
• 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
• 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전
동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의
이익을 위하여 필요하다고 인정되는 경우

146∣
참고
(민간) 영상정보처리기기 설치·운영 가이드라인
(공공) 영상정보처리기기 설치·운영 가이드라인
※ 찾아보기: 개인정보보호위원회(https://www.pipc.go.kr/np/) > 정책·법령 > 지침· 가이드라인

Ⅵ
고유식별정보(주민등록번호 포함)처리 제한
1. 고유식별정보 처리 제한
2. 주민등록번호 처리 제한

150∣
Ⅵ ?고유식별정보(주민등록번호 포함)
처리 제한
법률
제24조(고유식별정보의 처리 제한)
제24조의2(주민등록번호 처리의 제한)
시행령 제21조(고유식별정보의 안전성 확보 조치)
◈ 고유식별정보는 원칙적으로 처리할 수 없으나, 별도로 정보주체의 동의를 받은 경우와 개별
법령에서 처리를 요구하거나 허용하고 있는 경우에는 처리할 수 있음
☞ (설명) “고유식별정보”란 법령에 의해서 개인을 고유하게 구별하기 위하여 부여된 식별정보로 주민
등록번호, 여권번호, 운전면허번호, 외국인등록번호를 말하며, 이들 정보가 민간 분야에서 DB매칭
키 등으로 남용되어 개인 프라이버시 침해가능성이 높은 정보라는 점을 고려한 것임.
이는 개인에게 부여된 것이어야 하므로 기업, 학교 등이 소속 구성원에게 부여하는 사번, 학번 등은
고유식별정보가 될 수 없고, 법인이나 사업자에게 부여되는 법인등록번호, 사업자등록번호 등도
고유식별정보가 될 수 없음.
◈ 주민등록번호는 원칙적으로 처리가 금지되고, 법률 등에 근거한 예외적인 경우에만 처리가
허용됨
☞ (설명) 주민등록번호는 「주민등록법」 제7조의2 제1항에 따라 시장·군수 또는 구청장이 주민에게
개인별로 부여한 고유 등록번호로 생년월일, 성별 등을 표시할 수 있는 13자리의 숫자로 구성된 고유
등록번호이고 「개인정보 보호법」제24조 제1항 및 같은 법 시행령 제19조 제1호에 따른 고유식별
정보로 이러한 주민등록번호는 원칙적으로 처리가 금지되고, 예외적으로 허용하는 경우에도 주민
등록번호 보호를 다른 고유식별정보 보다 더욱 강화함으로써 관행적 동의 절차에 따른 오·남용과
유출시 2차 피해 등을 근본적으로 예방하고자 함.

Ⅵ. 고유식별정보(주민등록번호 포함)처리 제한∣151
1. 고유식별정보 처리 제한(제24조)
법령에 따라 개인을 고유하게 구별하기 위하여 부여된 고유식별정보 처리 제한(제1항)
╶ 고유식별정보란 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 말함(시행령 제19조 제1항)
╶ 다만, 공공기관이 업무 수행을 위하여 처리하는 다음의 경우에는 고유식별정보로 보지 아니 함
(시행령 제19조 제1항 단서)
※ 고유식별정보로 보지 않는 경우
․ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 위원회의 심의·의결을 거친 경우
․ 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
․ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
․ 법원의 재판업무 수행을 위하여 필요한 경우
․ 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
╶ 고유식별정보는 원칙적으로 처리할 수 없으나, 정보주체의 동의를 받은 경우(제1항 제1호)와
법령에서 구체적으로 고유식별정보를 열거하고 그 처리를 요구하거나 허용하고 있는 경우는
가능함(제1항 제2호)
- 정보주체의 별도의 동의를 받는 경우에 개인정보처리자는 제15조 제2항 각 호 또는 제17조
제2항 각 호의 사항을 정보주체에게 알리고 다른 개인정보의 처리에 대한 동의와 분리해서
고유식별정보 처리에 대한 동의를 받아야 하며, 이 때 주민등록번호는 제외함
- 법령에서 구체적으로 처리를 요구하거나 허용하는 경우란, 원칙적으로 법령에서 구체적으로
고유식별정보의 종류를 열거하고 그 처리를 요구하거나 허용하고 있는 것을 말함
- ‘법령’에 의한다고 규정하고 있으므로 법률 외에 시행령, 시행규칙이 포함되며 이에 첨부된 별지
서식이나 양식도 포함됨
152∣[고유식별정보 처리 요구, 허용 법령]

관련법률
내용
「금융실명거래 및 비밀보장에 관한 법률 시행령 제3조
1. 개인의 경우 : 주민등록표에 기재된 성명 및 주민등록번호. 다만, 재외국민의 경우에는 여권에 기재된 성명 및 여권번호(여권이 발급되지 아니한 재외 국민은 「재외국민등록법」에 의한 등록부에 기재된 성명 및 등록번호)
4. 외국인의 경우 : 「출입국관리법」에 의한 등록외국인기록표에 기재된 성명 및 등록번호. 다만, 외국인등록증이 발급되지 아니한 자의 경우에는 여권 또는 신분증에 기재된 성명 및 번호
「후견등기에 관한 법률」 제25조 제1항
2. 피성년후견인들의 성명, 성별, 출생 연월일, 주민등록번호 및 등록기준지
(외국인인 경우에는 주민등록번호 및 등록기준지를 갈음하여 국적 및 외국인 등록번호 기록)
3. 성년후견인등의 성명, 주민등록번호 및 주소 또는 사무소(법인인 경우에는 명칭, 법인등 록번호 및 주된 사무소를 기록하고, 외국인인 경우에는 주민등록번호를 갈음하여 국적 및 외국인등록번호 기록)
「후견등기에 관한 규칙」 제2조
1. “특정사항”이란 피성년후견인등, 후견계약의 본인 또는 사전처분의 본인 성명,
성별, 출생연월일, 주민등록번호 및 등록기준지에 관한 기록사항을 말함. 다만,
피성년후견인등·후견계약의 본인·사전처분의 본인이 외국인인 경우에는
성명, 성별, 출생연월일, 외국인등록번호(외국인등록을 하지 아니한 외국
국적동포의 경우에는 국내거소신고번호) 및 국적에 관한 기록사항을 말함
「아동학대범죄의 처벌 등에 관한 특례법 시행령」 제7조
법무부장관 등은 사무를 수행하기 위하여 불가피한 경우 민감정보 및 고유식별
정보가 포함된 자료를 처리할 수 있음

╶ 다른 법령에서 신원이나 연령확인 의무만을 부과하고 있는 경우에는 고유식별정보 처리 동의를
별도로 받거나, 주민등록번호를 사용하지 않는 수단을 이용함

[신원, 연령확인 의무 법령]

관련법률
내용
「청소년보호법」 제16조 (판매금지 등)
• 상대방의 나이 및 본인 여부의 확인 방법 등에 필요한 사항은 대통령령으로 정함(제4항)
청소년보호법」 제26조 (심야시간대의 인터넷게임 제공시간 제한)
• 인터넷게임의 제공자는 16세 미만의 청소년에게 오전 0시부터 오전 6시까지 인터넷게임을 제공할 수 없음(제1항)

「정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의5
• 게시판 이용자의 본인 확인을 위한 방법 및 절차의 마련 등 대통령령으로 정하는 필요한 조치(이하 “본인확인조치”라 한다)를 하여야 함 (제1항)
「게임산업진흥에 관한 법률」 제12조의3
• 게임물 관련사업자는 게임물 이용자의 게임과몰입과 중독을 예방하기 위하여 게임물 이용자의 회원가입 시 실명·연령 확인 및 본인 인증을 하여야 함(제1항)

 

판례
출생연도가 고유식별정보인지 여부
출생연도가 사실상 고유식별정보로 기능한다고는 볼 수 없고, 출생연도에 관하여 법률상 보호
받아야 할 이익이 없다고 판시하고 있습니다(대법원 2016. 8. 17., 선고, 2014다235080, 판결).

개인정보처리자는 고유식별정보를 처리하는 경우 암호화 등 안전성 확보 조치를
하여야 함(제3항)
╶ 개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·
위조·변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보 조치를 하여야 함
╶ 개인정보처리자는 시행령 제30조에 따른 개인정보 안정성 확보조치 기준을 준수하여야 하며,
정보통신서비스 제공자등은 시행령 제48조의2에 따른 기준을 준수하여야 함(시행령 제21조 제1항)
위원회는 고유식별정보 안전성 확보 조치 정기조사를 2년 단위로 수행함(제4항, 제5항)
╶ 위원회는 시행령 제21조 제2항과 제3항에 따라 공공기관 또는 5만명 이상 정보주체의 고유식별
정보를 처리하는 개인정보처리자에 대해서 고유식별정보의 안전성 확보 조치를 하였는지를 2년마다 1회 이상 조사하여야 함
╶ 위원회는 시행령 제21조 제4항과 제5항에 따라 온라인 또는 서면을 통하여 필요한 자료를
제출하게 하는 방법으로 조사를 수행하며, 한국인터넷진흥원 등 위원회가 정하여 고시하는
전문기관이 수행하게 할 수 있음

▶ 고유식별정보 안전성 확보조치 조사
① (조사대상) 공공기관, 5만명 이상 정보주체의 고유식별정보를 처리하는 자
② (조사주기) 2년마다 1회 이상
※ 짝수년도 : 행정기관 등, 홀수년도 : 각급 학교
③ (조사방법) 고유식별정보 보유현황 및 안전성 확보조치 자체점검 결과를 개인정보 보호 종합
포털(privacy.go.kr)에 등록
④ (수행기관) 위원회 또는 대통령령으로 정하는 전문기관

민감정보
고유식별정보
사상, 신념, 노동조합·정당의 가입 및 탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄 경력, 신체적·생리적·행동적 특징(특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보), 인종이나 민족
주민등록번호,
운전면허번호, 여권번호,
외국인등록번호

조문
위반행위
벌칙수준
제71조 제4호
고유식별정보 처리기준 위반(제24조 제1항)
5년 이하 징역/ 5천만원 이하 벌금
제73조 제1호
제공받은 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공한 정보통신서비스 제공자등(제19조 위반)
2년 이하 징역/ 2천만원 이하 벌금
제75조 제2항 제6호
고유식별정보 안전성 확보조치 의무 위반(제24조 제3항)
3천만원 이하 과태료

 

2. 주민등록번호 처리 제한(제24조의2)
고유식별정보 중 주민등록번호는 원칙적으로 처리가 금지되고, 예외적인 사유에만
허용됨(제1항)
╶ “법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원
규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우”와 같이 주민등록번호를
처리할 수 있는 법령의 범위를 한정하고 있으므로 부령 등 시행규칙을 근거로는 주민등록번호를
처리할 수 없음(제1호)
╶ 명백히 주민등록번호의 처리가 정보주체나 제3자의 생명, 신체, 재산상의 이익을 위한 것이어야
하며 반드시 급박성이 인정되어야 하므로 충분한 시간적 여유가 있거나 다른 수단에 의하여
생명, 신체, 재산의 이익을 보호할 수 있다면 급박한 상태에 있다고 볼 수 없음(제2호)
╶ 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 위원회가 고시로 정하는
경우(현재 고시는 제정되어 있지 않음)
╶ 이러한 예외사유에 해당되지 않는 한 정보주체로부터 동의를 받아 주민등록번호를 수집하여
이용하거나, 제3자에게 제공하거나 저장·보유하는 것도 금지되며 예외사유에 해당하는 경우
개인정보처리자는 정보주체로부터 별도 동의를 받을 필요가 없음.

의결례 : 금융회사의 신분증 진위확인 정보 공유를 위한 주민등록번호 처리에 관한 건
금융회사는 「금융실명거래 및 비밀보장에 관한 법률」(이하 ‘금융실명법’) 제3조 및 같은 법
시행령 제3조에 따라 거래자의 실지명의로 금융거래를 하여야 하며, 실지명의 확인을 위하여
주민등록번호를 처리할 수 있습니다. 그러나, 신분증 진위확인 정보를 금융회사 간에 공유하기
위하여 금융실명법을 근거로 주민등록번호를 처리할 수 없으며, 금융결제원 또한 해당 정보 공유
업무를 위탁받아 수행할 수 없습니다.(위원회 결정 제2021-104-007호)
주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자는 암호화 조치하여
보관함(제2항)
╶ 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여
안전하게 보관하여야 함
╶ 주민등록번호는 고유식별정보에 해당하므로 시행령 제21조의2 제3항에 따라 개인정보처리자는
「개인정보의 안전성 확보조치 기준」에 따른 암호화 조치를 통하여 안전하게 보관하여야 함
인터넷 9í홈페이지로 회원 가입하는 경우 주민등록번호 대체수단을 제공하여야 함(제3항, 제4항)
╶ 개인정보처리자는 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여
156∣
회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는
방법을 제공하여야 함

[주민등록번호 대체수단]

구분
대체수단
근거
본인확인기관
• 아이핀, 휴대전화, 신용카드, 토스
-정보통신망법(제23조의2),본인확인지정기준 고시
전자서명
인증사업자
• NHN페이코, 신한Sign, 네이버 인증서
- 전자서명법(제8조)

╶ 위원회는 개인정보처리자가 주민등록번호 대체수단을 제공할 수 있도록 관계 법령의 정비,
계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련·지원할 수 있음

조문
위반행위
벌칙수준
제73조 제1호
고유식별정보 안전성 확보 조치 위반으로 개인정보가 침해당한 경우(제24조 제3항)
2년 이하 징역 / 2천만원 이하 벌금
제75조 제2항 제4의2호
법령상 근거없이 주민등록번호 처리(제24조의2 제1항)
3천만원 이하 과태료
제75조 제2항 제4의3호
주민등록번호 보호를 위한 암호화 조치 위반(제24조의2 제2항)
3천만원 이하 과태료
제75조 제2항 제5호
정보주체가 주민등록번호를 사용하지 아니할 수 있는 방법 제공 위반(제24조의2 제3항)
3천만원 이하 과태료
제75조 제2항 제6호
고유식별정보 안전성 확보조치 의무 위반(제24조 제3항)
3천만원 이하 과태료

※ 참고 : 주민등록번호는 고유식별정보에 해당하므로 개인정보처리자가 주민등록번호를 처리하면서 고유식별정보 안전성 확보 조치 의무를 위반한 경우에도 같은 벌칙 규정 적용

Ⅵ. 고유식별정보(주민등록번호 포함)처리 제한∣157
사례1 : 운전면허나 여권번호를 별도 동의로 수집할 수 있는지?
회원의 운전면허번호나 여권번호를 수집하는 것이 「개인정보 보호법」을 위반하는 것인지와 혹시
개인정보 수집·이용 동의서에 이와 같은 항목에 대한 동의를 받는 것은 가능한지 궁금합니다.
답변 : 근거없이 회원의 운전면허번호나 여권번호 등 고유식별정보를 수집하는 것은 「개인 정보 보호법」을 위반하는 것이나, 수집·이용 목적 등을 알리고 별도의 동의를
받으면 수집할 수 있음
• 고유식별정보란 「개인정보 보호법」 제24조 제1항의 법령에 따라 개인을 고유하게 구별하기
위하여 부여된 식별정보로 같은 법 시행령 제19조에 따른 주민등록번호, 여권번호, 운전면허 번호, 외국인등록번호를 말함
• 이러한 고유식별정보를 수집·이용 등 처리하여서는 아니 되나 다만 「개인정보 보호법」 제
24조 제1항 각 호에 해당하는 경우는 민감정보를 처리할 수 있음
- 정보주체(회원)에게 「개인정보 보호법」 제15조 제2항에 따라 수집·이용 목적, 수집하려는
개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의
거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알리고 다른 개인정보의 처리에
대한 동의와 별도로 동의를 받은 경우
- 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
• 「개인정보 보호법」 제24조 제3항에 따라 회원의 고유식별정보를 처리하는 경우에는 그 고유
식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 같은 법 시행령 제21조 (제30조 준용)에 따른 안전성 확보에 필요한 조치를 하여야 함
- 고유식별정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
- 고유식별정보에 대한 접근 통제 및 접근 권한의 제한 조치
- 고유식별정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
- 고유식별정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
- 고유식별정보에 대한 보안프로그램의 설치 및 갱신
- 고유식별정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
• 개인정보보호위원회는 「개인정보 보호법」 제24조 제4항에 따라 같은 법 시행령 제21조
제2항에 따른 공공기관이나 5만명 이상의 정보주체(회원)의 고유식별정보를 처리하는 자에
대하여 안전성 확보에 필요한 조치를 하였는지를 2년에 1회 이상 조사
- 이러한 조사는 온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 함
158∣
사례2 : 주민등록증의 개인정보는 어디까지 수집할 수 있는지?(표준 해석례 49)
개인정보 보호법에 따라 개인 사업자가 주민등록증을 수집할 수 없는 것으로 알고 있습니다만,
혹시 어느 정도 수집할 수 있는지요? 예를 들면 이름, 주민등록번호 앞자리, 주민등록번호 첫 번째
뒷자리, 발행일, 주민등록기관, 사진 중에서….
답변 : 이름, 생년월일, 성별, 발행일, 주민등록기관, 사진은 주민등록번호가 아니므로
동의를 받아 수집할 수 있음
• 「개인정보 보호법」제24조의2에 따라 개인정보처리자는 법률 등에서 구체적으로 주민등록
번호의 처리를 요구하거나 허용한 경우 등 외에는 주민등록번호를 처리할 수 없음
- 이 때 주민등록번호란 주민등록법 제7조의2에 따라 시장·군수 또는 구청장이 주민에게
개인별로 고유한 등록번호를 부여한 것으로 생년월일, 성별을 포함한 13자리의 번호임
- 따라서 이름, 생년월일, 성별, 발행일, 주민등록기관, 사진은 주민등록번호가 아니므로
동의를 받아 수집할 수 있음
사례3 : 세입자 전세대출에 집주인의 주민등록증이 필요한지?(표준 해석례 50)
얼마 전 저는 집 주인으로서 전세계약을 체결하게 되었습니다. 세입자가 전세대출을 받는다고 하여, 부동산 중개인이 본인의 주민등록증을 찍어 보내달라고 합니다. 주민등록번호를 수집해도
되는지요?
답변 : 집주인이 금융기관에 질권 설정을 하는데 있어 본인확인을 위해 생년월일 및 신분증을 확인할 수 있음
• 「개인정보 보호법」제24조의2에 따라 개인정보처리자는 법률 등에서 구체적으로 주민등록
번호의 처리를 요구하거나 허용한 경우 등 외에는 주민등록번호를 처리할 수 없음
Ⅵ. 고유식별정보(주민등록번호 포함)처리 제한∣159
- 「금융실명거래 및 비밀보장에 관한 법률」 제3조, 시행령 제4조의2 등에 따라 금융기관은
금융거래자의 주민등록번호 및 신분증을 확인하여야 함
- 그러나, 전세대출에서 집주인은 금융기관에 제3채무자로서 질권설정을 하는 것이므로
실명제와 직접 관련이 없고 금융기관은 사인간의 채권채무관계에서 본인확인을 위해 생년월일
및 신분증을 확인할 수 있음(주민등록법 제25조(주민등록증에 따른 확인)).
- 채권채무 관계에서 보호법 제15조 제1항 제4호에 따라 계약의 체결 및 이행을 위하여
불가피하게 필요한 경우에는 정보주체의 동의를 받지 않고 개인정보를 수집할 수 있음
- 다만, 채권채무 관계의 경우 주민등록번호 수집에 대한 근거법령이 없으므로 주민등록증에
표시된 주민등록번호를 알 수 없도록 뒤 6자리에 대해 비식별조치가 필요함

사례4 : 가족수당 지급을 위해 가족의 주민등록번호를 수집해도 되는지?(표준 해석례 51)
현재 회사에서 가족수당을 지급하고 있습니다. 이 경우 가족수당을 지급할 대상인지 판단하기
위해서 임직원의 가족들 주민등록번호를 수집하고 있습니다. 가족수당 지급을 위해 근로자 본인
뿐만 아니라 가족들의 주민등록번호도 수집, 이용할 수 있는지요?
답변 : 가족수당 계산을 위하여 성명과 생년월일이 기재된 가족관계증명서나 주민등록
등본을 제출받을 수 있음
• 「개인정보 보호법」제24조의2에 따라 개인정보처리자는 법률 등에서 구체적으로 주민등록번호 의 처리를 요구하거나 허용한 경우 등 외에는 주민등록번호를 처리할 수 없음
- 「근로기준법 시행령」 제27조에 임금대장에 성명, 주민등록번호, 임금 및 가족수당의 계산
기초가 되는 사항 등을 근로자 개인별로 적도록 하였으므로 근로자 개인의 주민등록번호를 수집할 수는 있으나 가족의 주민등록번호를 수집할 근거로는 볼 수 없음
- 따라서, 가족수당 계산을 위하여 생년월일이 기재된 가족관계증명서나 주민등록등본을 제출받을 수 있음

Ⅶ
민감정보의 처리 제한
1. 민감정보 처리 제한
2. 민감정보의 범위

 

162∣
Ⅶ ?민감정보의 처리 제한
법률 제23조(민감정보의 처리 제한)
시행령 제18조(민감정보의 범위)
1. 민감정보 처리 제한
◈ 민감정보는 원칙적으로 처리할 수 없으나, 별도로 정보주체 동의를 받은 경우와 개별 법령에서
처리를 요구하거나 허용하고 있는 경우에는 처리할 수 있음
☞ (설명) “민감정보”란 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한
정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 말하며, 개인정보는
개인의 사생활은 물론 개인의 생명·신체·재산상 안전에 중대한 영향을 미칠 수 있고, 특히 사회적
차별을 야기하거나 현저히 인권을 침해할 우려가 있는 민감정보는 보다 엄격히 보호되어야 함

정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보인 민감정보는 처리가
제한됨(제1항)
╶ 민감정보란 1) 사상·신념 2) 노동조합·정당의 가입·탈퇴 3) 정치적 견해 4) 건강, 성생활 등에
관한 정보 5) 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 말함
╶ ‘사상·신념 정보’란 개인의 가치관에 기초로 하여 형성된 사유체계, 개인이 굳게 믿고 지키고자
하는 믿음·생각 등을 말하는 것으로 각종 이데올로기 또는 사상적 경향, 종교적 신념 등에 관한
정보를 말함
╶ ‘노동조합·정당의 가입·탈퇴 정보’란 노동조합 또는 정당 가입·탈퇴에 관한 정보를 말하며,
가입 및 탈퇴에 관한 직접적인 정보 이외에 노동조합비 또는 당비 납입내역 등 그 가입 여부를
확인할 수 있는 정보 포함
Ⅶ. 민감정보의 처리 제한∣163
╶ ‘정치적 견해 정보’란 정치적 사안에 대한 입장이나 특정 정당의 지지 여부에 관한 정보를 말함
╶ ‘건강 및 성생활 등에 관한 정보’란 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애
(장애등급 유무 등), 성적 취향 등에 관한 정보를 말함(혈액형은 해당하지 않음)
╶ ‘정보주체의 사생활을 현저하게 침해할 우려가 있는 개인정보’란 해당 정보를 수집·처리함으로써
헌법상 보장된 기본권의 본질적 내용이 침해될 우려가 있는 것을 말함

2. 민감정보의 범위(시행령 제18조)
◈ 유전정보, 범죄경력자료, 특정 개인의 생체정보, 인종이나 민족에 관한 정보는 민감정보에
해당함
☞ (설명) 유전자검사 등의 결과로 얻어진 유전정보, 범죄경력자료에 해당하는 정보, 개인의 신체적,
생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해
생성한 생체정보, 인종이나 민족에 관한 정보는 민감정보에 해당함
‘생체정보’란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 ①개인의 신체적, 생리적, 행동적
특징에 관한 정보로서 ②특정 개인을 인증·식별하거나 ③개인에 관한 특징(연령·성별·
감정 등)을 알아보기 위해 ④일정한 기술적 수단을 통해 처리되는 정보를 말함
① 개인의 신체적, 생리적, 행동적 특징
╶ 신체적 특징 : 지문, 얼굴, 홍채·망막의 혈관 모양, 손바닥·손가락의 정맥 모양, 장문, 귓바퀴의
모양 등
╶ 생리적 특징 : 뇌파, 심전도, 유전정보 등
╶ 행동적 특징 : 음성, 필적, 걸음걸이, 자판입력 간격·속도 등
② 특정 개인을 인증·식별: 지문·홍채·얼굴 등에서 추출한 특징점 등을 이용(비교·대조)하여 특정
개인임을 확인
╶ 인증 : 이용 권한이 있는 특정 개인임을 확인하기 위하여 이용자가 입력한 생체정보를 기기 등에 저장된 정보와 대조하여 본인 여부 확인
※ (예시) 지문을 입력하면 본인 여부를 확인한 후 출입을 허용하는 출입통제 시스템
╶ 식별 : 개인의 생체정보를 데이터베이스에 저장된 다수의 생체정보와 대조하여 여러 사람 중
특정 개인을 구분하여 확인
164∣
※ (예시) 기 등록된 여러 가족 구성원의 음성 중 지금 말하는 사람을 확인하여 대답하는 인공지능 스피커
③ 개인에 관한 특징을 알아보기 위해: 인증·식별 목적이 아닌, 사람의 연령·성별·감정 등의
상태를 확인 또는 분류하는 것
※ (예시1) 안면인식을 통해 연령이나 성별 등을 추정하여 이용자를 분류하는 행위
※ (예시2) 이용자의 얼굴을 자동 인식해 눈·코·입 위치에 맞는 스티커를 얼굴위에 덧입히는 것
④ 일정한 기술적 수단을 통해 처리: 센서 입력장치 등을 통해 이미지 등 원본정보를 수집·입력 하고 해당 원본정보로부터 특징점을 추출하는 등 개인을 인증·식별하거나 개인에 관한 특징을
알아보기 위해 전자적으로 처리되는 전 과정
‘생체인식정보’란 생체정보 중 특정 개인을 인증·식별할 목적으로 처리되는 정보
╶ 생체정보는 특정 개인을 인증·식별하기 위한 목적으로 처리되는 ‘생체인식정보’와 인증·식별
목적이 아닌, 개인에 관한 특징(연령·성별·감정 등)을 알아보기 위해 처리되는 일반적인 생체
정보(이하 “일반적인 생체정보”)로 구성
참 고
참고 : ‘생체인식정보’와 ‘일반적인 생체정보’의 구분 및 예시
• 얼굴 사진(영상)의 경우
- 생체인식정보 : 얼굴 사진(영상)에서 특징점 등을 기술적으로 추출하여 개인의 인증·식별
목적으로 출입통제(안면인식) 시스템 등에 사용하는 경우는 생체인식정보에 해당
- 일반적인 생체정보 : 얼굴 사진(영상)에서 특징점 등을 기술적으로 추출하지만 특정 개인의
인증·식별 목적이 아닌 성별, 감정상태(웃는 모습, 화난 모습 등)를 알아보기 위해 사용되는
경우는 ‘일반적인 생체정보’에 해당
• 음성의 경우
- 생체인식정보 : AI 스피커에서 입력된 사람의 음성을 통해 특징점 등을 기술적으로 추출하여
말하는 사람이 누구인지 확인하여 응답하는 경우는 생체인식정보에 해당
- 일반적인 생체정보 : AI 스피커에서 입력된 사람의 음성을 통해 특징점 등을 기술적으로
추출하지만 특정 개인을 확인하지 않고 단순히 화자의 감정상태(화난 목소리, 기쁜 목소리
등)를 알아보기 위해 사용되는 경우는 ‘일반적인 생체정보’에 해당
출처: 개인정보보호위원회, “생체정보 보호 가이드라인”, 2021.9.
Ⅶ. 민감정보의 처리 제한∣165
╶ 생체인식정보는 개인을 인증 또는 식별 목적으로 입력장치 등을 통해 수집·입력되는 ‘생체인식
원본정보(이하 “원본정보”)’와 이로부터 특징점을 추출하는 등의 일정한 기술적 수단을 통해
생성되는 ‘생체인식 특징정보(이하 “특징정보”)’로 구분
∙ 원본정보는 생체인식정보를 전자적으로 처리하는 과정에서 유출되거나 오·남용되는 경우
개인정보 침해 위험성이 크므로 원본정보의 안전한 보관을 위해 저장 시 암호화, 원본정보를
특징정보 생성 후에도 보관하는 경우 다른 개인정보와 분리 보관 등 별도의 보호조치 필요
∙ 특징정보는 시행령 제18조 제3호에 따른 민감정보에 해당하므로 민감정보인 특징정보는 법
제23조(민감정보의 처리 제한)에 따라 다른 개인정보의 처리에 대한 동의와 별도로 동의를
받거나 또는 법령에서 특징정보의 처리를 요구하거나 허용하는 경우에만 처리 가능

인종이나 민족에 관한 정보도 민감정보
╶ 인종은 인류를 지역과 신체적 특성에 따라 구분한 것이고, 민족은 일정한 지역에서 오랜 세월
동안 공동생활을 하면서 언어와 문화상 공통성에 기초하여 역사적으로 형성된 사회 집단으로서,
인종이나 국가 단위인 국민과 반드시 일치하는 것은 아님
민감정보는 원칙적으로 처리가 금지되며, 정보주체의 명시적 동의가 있는 경우와
법령에서 민감정보의 처리를 요구하거나 허용하는 경우 등 예외적인 사유에 해당할
때에만 처리할 수 있음
╶ 정보주체의 별도 동의를 받은 경우 : 개인정보 수집·이용 범위 등(법 제15조 제2항 각 호) 또는
제공범위 등(법 제17조 제2항 각 호)을 정보주체에게 알리고 다른 개인정보 처리에 대한 동의와
분리해서 민감정보 처리에 대한 별도 동의를 받은 경우
╶ 법령에서 처리를 요구하는 경우 : 법령에서 민감정보 종류를 열거하고 그 처리를 요구하는 경우
(법정서식에 민감정보 기재사항이 있는 경우도 포함)
※ 별도 동의 없는 민감정보 처리(법 제18조 제2항 제5호부터 제9호)
․ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
․ 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
․ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
․ 법원의 재판업무 수행을 위하여 필요한 경우
․ 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
166∣
※ 민감정보 관련 ‘환자에 관한 기록’의 범위가 아닌 것(의료법 제21조)
- 환자로부터 체취한 검체(조직 슬라이드 등) 자체
- 의료기관 종사자의 개인적인 메모
- 진료기록에 대한 시스템 접속 기록 또는 열람자 목록 등
- 의료기관 밖의 환자기록(환자가 사본 발급한 진료기록 등)은 일반 개인정보로서 「개인정보
보호법」 적용 대상
[개인정보보호위원회·보건복지부, 개인정보보호가이드라인(의료기관편)]

법제처 해석
18-0310, 2018.8.6.
【질의】 「의료법」 제21조 제3항 제6호에 따라 의료인 등이 「형사소송법」 제218조에 따른 임의 제출로 환자에 관한 기록 사본을 제출하는 경우 환자 본인의 동의를 받아야 하는지?
【회답】 의료인 등은 환자의 이익을 부당하게 침해할 우려가 있는 경우가 아니라면 환자 본인의
동의를 받지 않아도 「형사소송법」 제218조에 따른 임의제출로 환자에 관한 기록 사본을 제출
할 수 있습니다.

헌재결정
건강보험 요양급여내역 제공 요청 및 제공 행위 등 위헌확인
요양급여내역은 건강에 관한 정보로서 ‘개인정보 보호법’ 제23조 제1항이 규정한 민감정보에
해당하며, ‘개인정보 보호법’상 공공기관에 해당하는 국민건강보험공단은 ‘개인정보 보호법’
제23조 제1항 제2호, ‘경찰관 직무집행법 시행령’ 제8조 등에 따라 범죄의 수사를 위하여
불가피한 경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고
민감정보를 제공할 수 있습니다(헌법재판소 2018. 8. 30. 선고 2014헌마368 전원재판부
결정).
Ⅶ. 민감정보의 처리 제한∣167

의결례 : 성남도시개발공사의 자체감사를 위한 소속 직원의 운전경력증명서 수집에 관한 건
운전경력증명서의 법규위반 사항에 기재된 혈중알코올농도는 민감정보에 해당하지 않습니다.
성남도시개발공사는 자체감사를 수행하기 위하여 소속 직원으로부터 운전경력증명서에 기재된
정보 중 성명, 생년월일, 법규위반 사항을 수집할 수 있습니다(위원회 결정 제2020-13-244호).
민감정보를 처리하는 경우 안전성 확보조치를 하여야 함(제2항)
╶ 개인정보처리자가 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조
또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하여야 함
╶ 개인정보처리자는 시행령 제30조에 따른 「개인정보의 안전성 확보조치 기준」을 준수하여야
하며, 정보통신서비스 제공자등은 시행령 제48조의2에 따른 「개인정보의 기술적·관리적
보호조치 기준」을 준수하여야 함
사례1 : 사회복무요원의 범죄경력을 복무기관에 제공할 수 있는지?
지방병무청은 복무기관 사회복무요원의 복무관리를 위하여 지방병무청이 보유한 질병·심신장애
진료과목과 판정 급수, 강력범죄경력 있는 사회복무요원의 범죄명과 선고형 등에 관한 정보를
각 복무기관에 제공할 수 있는지 궁금합니다(의결례 제2020-13-247호).
민감정보를 처리하는 경우 안전성 확보조치를 하여야 함(제2항)
╶ 개인정보처리자가 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조
또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하여야 함
╶ 개인정보처리자는 시행령 제30조에 따른 「개인정보의 안전성 확보조치 기준」을 준수하여야
하며, 정보통신서비스 제공자등은 시행령 제48조의2에 따른 「개인정보의 기술적·관리적
보호조치 기준」을 준수하여야 함

조문
위반행위
벌칙수준
제71조 제2호
민감정보 처리기준 위반(제23조 제1항)
5년 이하 징역 / 5천만원 이하 벌금
제39조의15 제1항 제3호
이용자 동의 없이 민감정보를 수집한 경우 정보통신서비스 제공자등(제23조 제1항 제1호)
위반행위 관련 매출액 100분의 3 이하 과징금
제73조 제1호
민감정보 보호 안전성 확보 조치 위반으로 개인정보 도난·유출·변조 또는 훼손당하거나 분실한 자(제23조 제2항)
2년 이하 징역 / 2천만원 이하 벌금
제75조 제2항 제6호
민감정보 보호 안전성 확보조치 의무 위반(제23조 제2항)
3천만원 이하 과태료

사례1 : 사회복무요원의 범죄경력을 복무기관에 제공할 수 있는지?
지방병무청은 복무기관 사회복무요원의 복무관리를 위하여 지방병무청이 보유한 질병·심신장애
진료과목과 판정 급수, 강력범죄경력 있는 사회복무요원의 범죄명과 선고형 등에 관한 정보를
각 복무기관에 제공할 수 있는지 궁금합니다(의결례 제2020-13-247호).
168∣
답변 : 정신건강의학과 질환으로 질병·심신장애 진료과목과 판정 급수, 강력범죄경력
있는 사회복무요원의 범죄명과 선고형 등에 관한 정보는 「개인정보 보호법」에 따른
민감정보로 지방병무청은 각 복무기관에 제공할 수 없음
• 「개인정보 보호법」 제23조 제1항과 같은 법 시행령 제18조에 따라 사상·신념, 노동조합·
정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 범죄경력자료 등 정보
주체의 사생활을 현저히 침해할 우려가 있는 개인정보는 민감정보에 해당하므로 처리하여서는
안됨
- 다만 정보주체에게 「개인정보 보호법」 제15조 제2항에 따라 수집·이용 목적, 수집하려는
개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의
거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알리고 다른 개인정보의 처리에
대한 동의와 별도로 동의를 받은 경우(제1호)
- 법령에서 민감정보의 처리를 요구하거나 허용하는 경우(제2호)
• 현행 법령에는 지방병무청이 복무기관에 사회복무요원의 건강에 관한 정보 또는 범죄경력
자료를 제공할 수 있는 명확한 근거가 마련되어 있지 않으므로 법령해석만으로 사회복무
요원의 민감정보 제공을 허용하는 것은 바람직하지 않으므로 정보주체가 복무기관에 자신의
정보가 제공될 것이라는 점을 예측할 수 있도록 정보 제공 대상과 목적을 구체화하여 법령에
규정하여야 함

Ⅷ 가명정보의 처리 등
1. 가명정보의 처리 등
2. 가명정보 처리시 금지의무
172∣
Ⅷ ?가명정보의 처리 등
법률
제28조의2(가명정보의 처리 등)
제28조의5(가명정보 처리시 금지의무 등)
1. 가명정보의 처리 등(제28조의2)
◈ 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 처리
가능
☞ (설명) “가명정보”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가
정보가 없이는 특정 개인을 알아볼 수 없도록 가명처리함으로써 원래의 상태로 복원하기 위한 추가
정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보를 말하며, 개인정보처리자는 원칙적으로
수집 목적 범위 외로 개인정보를 이용할 수 없으나, 통계작성, 과학적 연구, 공익적 기록보존 등을
위하여 정보주체의 동의 없이 가명처리 가능함
가명정보는 개인정보처리자의 정당한 처리 범위 내에서 통계작성, 과학적 연구,
공익적 기록보존 등의 목적으로 정보주체의 동의 없이 처리할 수 있음(제1항)
╶ 통계란 특정 집단이나 대상 등에 관하여 작성하는 수량적인 정보로 시장조사와 같은 상업적
목적의 통계처리도 포함
∙ 직접(1:1) 마케팅 등을 위해 특정 개인을 식별할 수 있는 형태의 통계는 해당하지 않음
※ 통계 작성 예시
․ 회사가 도로구조 개선 및 휴게공간 추가설치 등 고객서비스 개선을 위하여 월별 시간대별 차량
평균속도, 상습 정체구간, 사고구간 및 원인 등에 대한 통계를 작성하는 경우
․ 백화점, 마트 등 유통경로별 상품판매 전략을 수립하기 위하여 판매 상품을 구입한 회원의 연령,
Ⅷ. 가명정보의 처리 등∣173
성별, 선호색상, 구입처, 기능 및 가격 등에 관한 통계를 작성하는 경우
․ 지자체가 연령에 따른 편의시설 확대를 위해 편의시설(문화센터, 도서관, 체육시설 등)의 이용
통계(위치, 방문자수, 체류시간, 나이대, 성별 등)를 생성·분석하여 적합한 지역에 신규 편의시설을
선정하고자 하는 경우
╶ 과학적 연구는 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을
적용하는 연구를 의미
∙ 과학적 연구는 과학적 방법을 적용하는 연구를 말하며 자연과학, 사회과학, 의료 등 다양한
분야에서 가능
∙ 과학적 방법은 체계적이고 객관적인 방법으로 검증 가능한 질문에 관해 연구하는 것을 의미
∙ 과학적 연구는 기술의 개발과 실증, 기초 연구, 응용 연구뿐만 아니라 새로운 기술·제품·서비스
개발 등 산업적 목적을 위해서도 수행할 수 있으며, 민간 투자 연구, 기업 등이 수행하는 연구도
가능
※ 과학적 연구 예시
․ 코로나19 위험 경고를 위해 생활패턴과 코로나19 감염률의 상관관계에 대한 가설을 세우고, 건강
관리용 모바일앱을 통해 수집한 생활습관, 위치정보, 감염증상, 성별, 나이, 감염원 등을 가명
처리하고 감염자의 데이터와 비교·분석하여 가설을 검증하는 경우
․ 연령, 성별에 따른 체중관리 운동 시뮬레이션 프로그램 또는 운동관리 애플리케이션을 개발하기
위하여 웨어러블 기기를 이용하여 수집한 맥박, 운동량, 평균 수면시간 등에 관한 정보와 이미
보유한 성별, 연령, 체중을 가명처리하여 활용하는 경우
╶ 공익적 기록보존이란 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 정보를 기록하여
보존하는 것을 의미
∙ 공공기관이 처리하는 경우에만 공익적 목적이 인정되는 것은 아니며, 민간기업, 단체 등이
일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록보존 목적이 인정됨
※ 공익적 기록보존 예시
․ 연구소가 현대사 연구 과정에서 수집한 정보 중에서 사료가치가 있는 생존 인물에 관한 정보를
기록·보관하고자 하는 경우
개인정보처리자가 가명정보를 제3자에게 제공하는 경우, 특정 개인을 알아보기
위하여 사용될 수 있는 정보를 포함하여서는 안 됨(제2항)
╶ 가명 정보를 원래의 상태로 복원할 수 있는 추가 정보 외에도 특정 개인을 알아보기 위하여
사용될 수 있는 정보들은 명칭, 종류, 형태, 내용을 불문하고 제3자에게 제공해서는 안 됨

판례 : 공개된 개인정보를 수집하여 제3에게 제공한 행위
직접 또는 제3자를 통하여 이미 공개한 개인정보는 그 공개 당시 정보주체가 자신의 개인정보에
대한 수집이나 제3자 제공 등의 처리에 대하여 일정한 범위 내에서 동의를 한 것이므로 이미
공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위내에서는 수집·
이용·제공 등의 처리를 할 때에는 정보주체의 별도 동의를 받지 않았다고 개인정보보호법을
위반하였다고 볼 수 없음(대법원 2016.8.17. 선고 2014다235080 판결).

Ⅹ 정보주체의 권리보호
1. 개인정보의 열람
2. 개인정보의 정정·삭제 요구권
3. 개인정보의 처리정지 등
4. 정보주체의 권리행사 방법 및 절차 등
186∣
Ⅹ ?정보주체의 권리보호
법률
제35조(개인정보의 열람)
제36조(개인정보의 정정·삭제)
제37조(개인정보의 처리정지 등)
제38조(권리행사의 방법 및 절차)
시행령
제41조(개인정보의 열람절차 등)
제42조(개인정보 열람의 제한·연기 및 거절)
제43조(개인정보의 정정·삭제 등)
제44조(개인정보의 처리정지 등)
제45조(대리인의 범위 등)
제46조(정보주체 또는 대리인의 확인)
제47조(수수료 등의 금액 등)
제48조(열람 요구 지원시스템의 구축 등)
표준지침
제31조(개인정보 열람 연기 사유의 소멸)
제32조(개인정보의 정정·삭제)
제33조(개인정보의 처리정지)
제34조(권리행사의 방법 및 절차)
제44조(정보주체의 열람등 요구)
제45조(개인영상정보 관리대장)
제46조(정보주체 이외의 자의 개인영상정보 보호)
고시
개인정보 처리 방법에 관한 고시(보호위원회 고시 제2020-7호)
제3조(개인정보보호 업무 관련 장부 및 문서 서식)
열 람
◈ “열람”이란 「개인정보 보호법」에 따라 그 열람이 허용되는 개인정보를 해당 개인 정보처리자 로부터 제공받아 그 내용을 확인하면서 보는 것을 말하며 사본을 포함함
정정요구
◈ “정정요구”란 개인정보를 열람한 정보주체가 그 개인정보를 보유하고 있는 개인 정보처리자에게 잘못된 개인정보를 고쳐서 바로잡도록 청구하는 것을 말함
삭제요구
◈ “삭제요구”란 개인정보를 열람한 정보주체가 그 개인정보를 보유하고 있는 개인 정보처리자에게 해당 개인정보를 파기하도록 청구하는 행위를 말함
Ⅹ. 정보주체의 권리보호∣187
1. 개인정보의 열람
[개인정보 열람 요구 처리 절차]

개인정보 열람의 대상

 

╶ 정보주체는 개인정보처리자가 처리하고 있는 자신의 개인정보의 열람을 요구할 수 있음. 열람의
대상이 되는 개인정보는 정보주체가 직접 제공한 개인정보는 물론 제3자 또는 공개된 정보원
으로부터 수집한 개인정보, 개인정보처리자가 생산한 개인정보(민원처리기록, 주민등록등본 등
온라인문서발급기록, 진료기록, 생계급여지급내역, 신용평가, 인사평가, 거래내역, 진료기록 등),
서비스제공 등의 과정에서 자동적으로 생성된 개인정보(수발신내역, 입출기록, 쿠키, 로그
기록 등) 등을 포함함
사례1 : 개인 진료기록을 의료진이 사전에 열람한 경우 불법인지?(표준 해석례 23)
환자가 병원에 입원하고 퇴원후 다시 재입원하였을 때 1차 입원내역을 환자가 열람신청하지 않은
상태에서 병동 간호사가 진료목적으로 열람하였을 경우 개인정보보호법 위반인가요?
188∣
답변 : 환자의 동의를 받아 1차 진료기록을 사전 열람할 수 있음
• 「개인정보 보호법」제6조에 따라 개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는
경우 다른 법률을 우선 적용하여야 하나, 「의료법」제21조(기록열람)에 의료기관 종사자의
환자 의료기록 열람에 대한 규정이 없으므로 보호법을 적용하여야 함
• 다만, 「개인정보 보호법」제23조 제1항 제1호에 따라 개인정보처리자는 건강에 관한 정보
등 민감정보에 대해 정보주체에게 제15조 제2항 각 호 또는 제17조 제2항 각 호의 사항을
알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받아 처리할 수 있음
- 따라서 재입원 환자의 진료에 참고하기 위해 의료기관 종사자가 1차 진료기록을 사전
열람하려면 환자의 동의를 받아야 함

사례2 : 재개발 조합원 및 토지등소유자의 명부 열람시 동의가 필요한지?(표준 해석례 31)
우리 조합은 「도시 및 주거환경정비법」 제124조 제4항에 따라 조합원 등이 요청할 경우 조합원
명부를 열람시켜주고 있으나, 일부 조합원이 자신의 동의 없이 개인정보를 제공하였다면서 문제를
제기하고 있습니다. 이 경우에도 정보주체의 동의를 받아야 하나요?
답변 : 재개발 조합은 조합원 명부에 포함된 조합원 상호간 정보제공 동의 없이 개인정보를 열람하게 할 수 있음
• 「개인정보 보호법」제18조 제2항 제2호에 따라 법률의 특별한 규정이 있는 경우 정보주체
또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외
이용하거나 제3자에게 제공할 수 있음
- ｢도시 및 주거환경정비법｣ 에 따라 조합원과 토지등소유자가 서류 및 토지등소유자 명부,
조합원 명부를 포함하여 정비사업 시행에 관한 서류와 관련 자료에 대하여 열람·복사를
요청하는 경우 추진위원장 또는 사업시행자는 15일 이내에 그 요청에 따라야 함. 다만,
제3자의 주민등록번호는 열람이 허용되지 않음

대법원 판례
고시에서 정하는 조치 기준을 준수한 경우 민사상 손해배상책임 인정 여부
고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이
타당하다. 따라서 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를
다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는
위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·
관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여
타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생
사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다(대법원
2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결).

개인정보 파기 - 대법원 판례
안전성 확보 조치를 취할 의무 위반의 판단
• 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항 및 정보통신서비스 이용계약에
근거하여 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상
의무를 위반하였는지 여부를 판단할 때에는 해킹 등 침해사고 당시 일반적으로 알려져 있는
정보보안 기술 수준, 정보통신서비스 제공자의 업종과 영업 규모, 정보통신서비스 제공자가
취하고 있던 전체적인 보안조치의 내용, 정보보안조치에 필요한 경제적 비용 및 그 효용의
정도, 해킹기술 수준과 정보보안기술 발전 정도에 따른 피해 발생 회피 가능성, 정보통신서비스
제공자가 수집한 개인정보의 내용과 개인정보 누출로 인하여 이용자가 입게 되는 피해 정도
등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 침해사고 당시 사회통념상
합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 하여야 한다. [대법원
2018. 12. 28., 선고, 2017다207994, 판결]

• 정보통신부장관이 마련한 ｢개인정보의 기술적·관리적 보호조치 기준｣(정보통신부 고시 제
2005-18호 및 제2007-3호, 이하 ‘이 사건 고시’라 한다)은 해킹 등 침해사고 당시의 기술
수준 등을 고려하여 정보통신서비스제공자가 구 정보통신망법 제28조 제1항에 따라 준수해야
할 기술적·관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 이
사건 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한,
정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상
또는 계약상 의무를 위반하였다고 보기는 어렵다[대법원 2015. 2. 12., 선고, 2013다
43994, 2013다44003(병합) 판결].

ⅩⅡ개인정보처리자의 손해배상책임
1. 개인정보처리자의 손해배상책임
2. 개인정보처리자의 징벌적 손해배상책임
3. 개인정보처리자의 법정손해배상책임
4. 손해배상청구권 등의 소멸
250∣
XII ?개인정보처리자의 손해배상책임
법률
제39조(손해배상책임) - 3항 - 3배를 넘지 아니하는 범위에서 손해배상액 산정(2015. 7. 24)
제39조의2(법정손해배상의 청구)
1. 개인정보처리자의 손해배상책임
개인정보처리자의 손해배상책임의 성립요건
╶ 개인정보처리자의 손해배상책임이 성립하기 위해서는
첫째, 「개인정보 보호법」을 위반한 위법한 침해행위가 있어야 하고,
둘째, 「개인정보 보호법」을 위반한 침해행위로 인하여 손해가 발생하여야 하며,
셋째, 「개인정보 보호법」을 위반한 침해행위와 손해 사이에 상당한 인과관계가 있어야 하고, 넷째, 「개인정보 보호법」을 위반한 침해행위를 한 개인정보처리자에게 고의 또는 과실과 책임능력이 있어야 함
① 「개인정보 보호법」을 위반한 위법한 침해행위의 존재
• 개인정보처리자가「개인정보 보호법」을 위반하는 위법한 침해행위가 있어야 함. 따라서 「신용
정보법」, 「위치정보법」 등 개인정보 보호 관련 법률을 위반하는 행위는 「개인정보 보호법」이
정하고 있는 손해배상책임의 대상이 되지 않고, 이 경우에는 해당 법률 또는 「민법」에 따른
손해배상책임을 짐
• 「개인정보 보호법」을 위반하는지 여부의 판단은 법질서 전체의 입장과 객관적으로 모순·충돌하는 경우로 한정함. 일반적으로 「개인정보 보호법」을 위반하는 경우 위법성이 인정되지만, 선량한 사회풍속, 조리, 사회통념 등 사회상규에 반하지 않는다고 인정되는 경우에는 위법성이 조각됨.
개인정보는 다른 사람의 생명·신체·재산을 보호하기 위하여 이용되는 경우가 많으므로 손해
배상책임을 결정함에 있어서는 특별히 위법성 조각사유에 해당하는지 여부를 면밀히 검토
하여야 함
XⅡ. 개인정보처리자의 손해배상책임∣251
② 「개인정보 보호법」을 위반한 위법한 침해행위로 인하여 손해의 발생
• 개인정보처리자가 「개인정보 보호법」을 위반한 위법한 침해행위로 인하여 정보주체에게
손해가 발생하여야 함. 여기에서의 손해는 재산적·경제적 손해는 물론 정신적 손해도 포함하고,
손해액에 대한 증명은 손해배상을 청구하는 정보주체에게 있음
※ 예를 들면, 신용카드번호·주민등록번호 등의 유출에 따른 신용카드 부정사용, 불법대출 등으로
재산적 손실이 발생하거나 이메일 주소, 전화번호 등의 유출에 따라 정보주체의 의사에 반하여
스팸메일, 마케팅광고 등이 수신되는 것이 여기에 포함됨
판 례
정신적 손해가 발생하였는지 판단하는 기준
개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여
정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와
성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된
개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이
있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인
정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를
관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해
발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여
구체적 사건에 따라 개별적으로 판단하여야 한다. 또한 불법행위로 입은 정신적 고통에 대한
위자료 액수에 관하여는 사실심 법원이 제반 사정을 참작하여 그 직권에 속하는 재량에 의하여
확정할 수 있다(대법원 2019. 9. 26. 선고 2018다222303, 222310, 222327 판결).
판 례
정신적 손해의 부인
주유 관련 보너스카드 회원으로 가입한 고객들의 개인정보를 데이터베이스로 구축하여 관리
하면서 이를 이용하여 고객서비스센터를 운영하는 갑 주식회사로부터 고객서비스센터 운영업무
등을 위탁받아 수행하는 을 주식회사 관리팀 직원 병이, 정 등과 공모하여 무 등을 포함한 보너스
카드 회원의 성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등 고객정보를 빼내어 DVD 등
저장매체에 저장된 상태로 전달 또는 복제한 후 개인정보유출사실을 언론을 통하여 보도함으로써
252∣
• 손해는 위법행위로 인하여 정보주체가 받은 손해 가운데 사회 일반의 관념상 통상적으로
발생한다고 생각되는 범위의 손해를 배상하는 것으로 통상 손해를 넘어서 특별한 사정으로
인한 ‘특별손해’는 배상의 대상이 되지 않음. 특별손해는 개인정보처리자가 특별한 사정을
알았거나 알 수 있었을 때에 한하여 손해배상책임을 짐. 이 경우 개인정보처리자가 특별한
사정을 알았거나 알 수 있었을 것이라는 사실은 정보주체가 입증하여야 함
③ 「개인정보 보호법」을 위반한 위법한 침해행위와 손해 사이의 인과관계
• 개인정보처리자가 손해배상책임을 지기 위해서는「개인정보 보호법」을 위반한 위법한 침해
행위와 손해 사이에 상당한 인과관계가 있어야 함. 즉, 원인과 결과 사이의 관계가 무한히
연결되는 사실 가운데 객관적으로 보아 위법행위로부터 일반적으로 초래되는 손해가 발생한다고
인정할 때 “상당인과관계”가 있어야 함. 위법행위와 손해 사이에 상당인과관계가 있다는
사실은 정보주체가 증명하여야 함
◈ “상당성”은 가해행위 당시에 평균적 일반인이 알 수 있었던 사정과 가해자가 특히 알고 있었던
사정을 함께 고려하여 판단함. 상당인과관계 유무는 결과발생의 개연성, 위법행위의 태양 및
피침해이익의 성질 등을 종합적으로 고려하여 판단하여야 함
집단소송에 활용할 목적으로 고객정보가 저장된 저장매체를 언론관계자들에게 제공한 사안에서,
개인정보가 병에 의하여 유출된 후 저장매체에 저장된 상태로 공범들과 언론관계자 등에게
유출되었지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들
로부터 저장매체와 편집 작업 등에 사용된 컴퓨터 등이 모두 압수, 임의제출되거나 폐기된 점,
범행을 공모한 병 등이 개인정보 판매를 위한 사전작업을 하는 과정에서 위와 같이 한정된 범위의
사람들에게 개인정보가 전달 또는 복제된 상태에서 범행이 발각되어 개인정보가 수록된 저장
매체들이 모두 회수되거나 폐기되었고 그 밖에 개인정보가 유출된 흔적도 보이지 아니하여 제
3자가 개인정보를 열람하거나 이용할 수는 없었다고 보이는 점, 개인정보를 유출한 범인들이나
언론관계자들이 개인정보 중 일부를 열람한 적은 있으나 개인정보의 종류 및 규모에 비추어 위와
같은 열람만으로 특정 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점,
개인정보 유출로 인하여 무 등에게 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속
피해가 발생하였음을 추지할 만한 상황이 발견되지 아니하는 점 등 제반 사정에 비추어 볼 때,
개인정보 유출로 인하여 무 등에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는
어렵다(대법원 2012. 12. 26. 선고 2011다59834, 59858, 59841 판결).
XⅡ. 개인정보처리자의 손해배상책임∣253
④ 고의·과실 및 책임능력의 존재
◈ “고의”란 개인정보처리자가 「개인정보 보호법」 위반을 알면서도 위법행위를 하는 것으로,
여기에는 위법행위로 인하여 손해가 발생할지도 모른다는 의구심을 가지면서 그 위법행위를
하는 “미필적 고의”도 포함됨
◈ “과실”이란 개인정보처리자가 신의칙(信義則)상 요구되는 정도의 주의를 다하지 않아 「개인
정보 보호법」에 위반함을 인식하지 못한 것, 즉, 개인정보처리자가 선량한 관리자로서의 주의
의무를 다하지 아니한 것을 말함
• 개인정보처리자가 손해배상책임을 지기 위해서는 위법행위에 대한 고의 또는 과실은 물론 책임
능력이 있어야 함
• 개인정보처리자의 선임·지휘·감독을 받는 임직원, 파견근로자, 시간제근로자 등 개인정보를
처리하는 업무를 담당하는 자의 고의·과실은 개인정보 보호책임자 자신의 고의·과실로 봄. 또한,
수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 「개인정보 보호법」을
위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 보아야
하므로, 수탁자의 고의·과실도 개인정보처리자 자신의 고의·과실로 봄
고의·과실에 대한 입증책임의 전환
╶ 「민법」상 불법행위에 따른 손해배상청구의 경우에는 정보주체가 고의 또는 과실의 존재에 대한 입증책임을 지는 것이 원칙임. 그렇지만, 「개인정보 보호법」은 손해배상청구에 대하여 고의
또는 과실에 대한 입증책임을 개인정보처리자에게 부담시키고 있음. 즉, 개인정보처리자는
고의 또는 과실이 없음을 입증하지 아니하면 손해배상책임을 면할 수 없음

2. 개인정보처리자의 징벌적 손해배상책임
◈ “징벌적 손해배상제도”란 개인정보처리자가 「개인정보 보호법」 위반행위를 한 경우 위반
행위의 재발을 방지하기 위하여 정보주체에게 입증된 재산상 손해보다 훨씬 많은 금액의 배상을
하도록 한 제도를 말함
254∣
개인정보처리자의 징벌적 손해배상책임의 성립요건
╶ 개인정보처리자의 징벌적 손해배상책임이 성립하기 위해서는 첫째, 고의 또는 중대한 과실로
인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손되어야 하고, 둘째, 개인정보의 분실
등으로 인하여 정보주체에게 손해가 발생하여야 하며, 셋째, 개인정보의 분실 등과 손해 사이의
인과관계가 있어야 함
① 고의 또는 중대한 과실로 인한 개인정보의 분실 등의 발생
• 개인정보처리자는 “고의 또는 중대한 과실”로 인하여 “개인정보가 분실·도난·유출·위조·
변조 또는 훼손”되어야 함. 즉, 개인정보처리자는 법령을 위반하는 사실을 알면서도 그 법령을
위반하는 행위를 하여 개인정보의 분실 등이 발생하였거나, 통상인에게 요구되는 정도의 상당한
주의를 하지 않더라도 약간의 주의만 기울여도 개인정보의 분실 등을 예견할 수 있음에도 주의를
게을리하여 이를 인식하지 못하여야 함
② 정보주체에 대한 손해의 발생
• 개인정보처리자의 고의 또는 중대한 과실로 발생한 개인정보의 분실 등으로 인하여 “정보
주체에게 손해가 발생”하여야 함. 여기에서의 손해에는 재산적·경제적 손해는 물론 정신적
손해를 포함함
※ 분실 또는 유출된 은행계좌번호, 체크카드번호 등으로 인하여 정보주체의 예금이 불법으로 인출되어
재산적 손실이 발생하거나 분실 또는 유출된 이름, 휴대전화번호, 주소로 정보주체의 의사에 반하는
우편물, 스팸메일이 수신되는 것이 여기에 해당함
③ 개인정보의 분실 등과 손해 사이의 인과관계
• 개인정보처리자가 고의 또는 중대한 과실로 인하여 개인정보의 분실 등이 발생하고, 그로 인하여
손해가 발생하여야 함. 즉, 개인정보의 분실 등과 손해 사이에 상당인과관계가 성립하여야 함

법원에 의한 손해배상액 결정
╶ 개인정보처리자는 고의 또는 중대한 과실로 인하여 개인정보의 분실 등이 발생하였고, 그로
인하여 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서
손해배상액을 정할 수 있음. 법원이 징벌적 손해배상액을 정할 때에는 다음의 사항을 고려
하여야 함
XⅡ. 개인정보처리자의 손해배상책임∣255
징벌적 손해배상 산정시 필수적 고려 사항
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간·횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도

징벌적 손해배상책임의 입증책임
╶ 「민법」상 손해배상청구에 따르면 정보주체는
① 개인정보처리자의 고의 또는 중대한 과실,
② 개인정보의 분실 등 발생, ③ 손해의 발생,
④ 개인정보의 분실 등과 손해 발생 사이의 인과관계,
⑤ 실손해액을 증명하여야 함
╶ 그렇지만, 손해배상에 관한 일반원칙인 과실책임의 원칙에 대한 불합리한 훼손을 막고, 책임이
가중된 징벌적 손해배상으로 인하여 개인정보처리자가 불합리하게 징벌적 손해배상책임을 지지 않도록 하기 위하여 개인정보처리자가 자신에게 고의 또는 중대한 과실이 없음을 증명한
경우에는 징벌적 손해배상책임으로부터 벗어날 수 있도록 허용하고 있음

3. 개인정보처리자의 법정손해배상책임
◈ “법정손해배상”이란 정보주체가 개인정보의 분실 등으로 인한 구체적 손해액을 증명하지 않고,
법률에 규정된 손해액의 규정에 근거하여 손해배상을 받도록 하는 제도를 말함
법정손해배상책임의 성립요건
╶ 개인정보처리자의 법정손해배상책임이 성립하기 위해서는 첫째, 개인정보처리자의 “고의 또는
과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손”되어야 하고,
둘째, 정보 주체가 300만원 이하의 범위에서 상당한 금액을 손해액으로 배상을 청구하여야 하며,
256∣
셋째, 개인정보의 분실·도난·유출·위조·변조 또는 훼손으로 인한 손해 사이의 인과관계가 존재
하여야 함
① 고의 또는 과실로 인한 개인정보의 분실 등
• 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는
훼손되어야 함. 특히, “개인정보의 유출”은 다음의 어느 하나에 해당하여야 함
개인정보의 유출
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가
접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장
매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
◈ “고의”란 개인정보처리자가 법령을 위반하는 것이라는 것을 알면서도 위법행위를 하는 것을
말하고, 여기에는 위법행위로 인하여 손해가 발생할지도 모른다는 의구심을 가지면서 그 위법
행위를 하는 “미필적 고의”도 포함됨
◈ “과실”이란 개인정보처리자가 신의칙(信義則)상 요구되는 정도의 주의를 다하지 않아 법령에
위반함을 인식하지 못하는, 즉, 선량한 관리자로서의 주의의무를 다하지 아니한 것을 말함
◈ “분실”이란 개인정보처리자가 모르는 사이에 개인정보를 잃어버리는 것을 말함
◈ “도난”이란 권한 없는 자의 절도로 개인정보처리자가 개인정보를 잃게 된 것을 말함
◈ “유출”이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에
대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용하는 것을 말함
◈ “위조”는 권한 없는 자가 개인정보를 새롭게 생성하는 것을 말함
◈ “변조”는 권한 없이 기존 개인정보에 변경을 가하는 것을 말함
◈ “훼손”이란 개인정보 효용(效用)을 해치는 것을 말함
257
② 300만원 이하의 범위에서 상당한 금액을 손해액으로 배상을 청구
• 법정손해배상은 피해자인 정보주체에게 손해액 증명의 어려움을 완화시켜 주기 위한 제도임.
그 결과 법정손해배상을 청구하는 원고인 정보주체는 구체적인 손해액을 증명할 필요는 없음.
다만, 정보주체는 개인정보처리자의 고의 또는 과실로 인한 개인정보의 분실·도난·유출·위조·
변조 또는 훼손으로 인하여 손해가 발생하였다는 점을 주장하여야 함
• 정보주체가 300만원의 범위 내에서 최대한의 손해배상을 받고자 한다면 법원에 손해 발생의
개연성을 비롯하여 손해액의 산정에 도움이 될 수 있는 사항에 대하여 증명하고자 하는 노력을
기울이는 것이 필요함
③ 개인정보의 분실·도난·유출·위조·변조 또는 훼손으로 인한 손해 사이의 인과관계가 존재
• 법원이 상당한 손해액을 인정할 때에는 개인정보처리자에 의한 개인정보의 분실 등으로 정보
주체가 실제 받은 손해의 범위에서 이루어짐. 따라서 정보주체는 위법행위와 손해 사이에 상당
인과관계가 존재한다는 사실을 증명하여야 함
• 법원은 변론 전체의 취지와 증거조사의 결과를 고려하여 300만 원의 범위에서 상당한 손해액을
인정할 수 있음
고의 또는 과실에 대한 입증책임의 전환
╶ 법정손해배상청구에서는 고의 또는 과실이 없다는 입증책임은 개인정보처리자에게 있음. 그
결과 개인정보처리자는 고의 또는 과실이 없음을 입증하지 않으면 법정손해배상책임을 면할
수 없음

법정손해배상청구의 행사 시기
╶ 「개인정보 보호법」 제39조에 따른 손해배상책임과 제39조의2에 따른 법정손해배상책임은
서로 별개의 법적 근거에 의하여 인정되며 그 요건 및 효과 또한 서로 다르므로 소송과정에서
어느 조항에 근거한 손해배상책임을 주장할 것인지 정보주체가 선택·결정하여야 함
╶ 한편, 원고인 정보주체가 제39조에 따라 손해배상을 청구했더라도 사실심(事實審)의 변론이
종결되기 전까지는 언제든 그 청구를 법정손해배상 청구로 변경할 수 있음. 이것은 권리구제의
실효성을 강화하고자 하는 취지를 명확히 하기 위한 것임. 반대로 명문의 규정은 없지만 같은
취지에 근거하여 법정손해배상을 청구한 정보주체는 사실심 변론 종결 전까지 실손해를 입증
함으로써 제39조에 따른 손해배상 청구로 변경하는 것도 가능함
258∣
4. 손해배상청구권 등의 소멸
╶ 「개인정보 보호법」은 손해배상청구권의 소멸시효에 대하여 특별한 규정을 두고 있지는 않음.
그러므로 「민법」상의 일반규정이 적용되어 손해배상책임, 징벌적 손해배상책임 또는 법정
손해배상책임 모두에 대하여 정보주체 또는 그 법정대리인이 「개인정보 보호법」을 위반한
위법행위로 인하여 손해가 발생한 사실과 가해 개인정보처리자를 안 날로부터 3년(“시효기간”)
또는 불법행위를 한 날로부터 10년(“제척기간”) 이내에 손해배상을 청구하여야 함

XIII ?개인정보 보호법 위반사항 등
형사처벌

조문
위반행위
벌칙수준
제70조
1. 공공기관의 개인정보처리 업무를 방해할 목적으로 공공기관에서 처리하는 개인정보를 변경 또는 말소하여 공공기관의 업무 수행에 심각한 지장을 초래한 자
2. 거짓 기타 부정한 수단·방법으로 개인정보를 취득한 후 영리 또는 부정한 목적으로 제3자에게 제공하거나 이를 알선한 자
10년 이하 징역 / 1억원 이하 벌금
제71조
1. 정보주체의 동의없이 개인정보를 제3자에게 제공한 자(그 사정을 알고 제공받은 자 포함)
2. 불법정보인 사정을 알고 개인정보를 이용하거나 제공한 자(그 사정을 알고 영리 또는 부정한 목적으로 제공 받은 자 포함)
3. 민감정보 처리기준을 위반한 자
4. 고유식별정보 처리기준을 위반한 자
4의2. 가명정보 결합 제한기준을 위반하여 가명정보를 처리하거나 제공한 자(그 사정을 알고 영리 또는 부정한 목적으로 제공받은 자 포함)
4의3. 특정 개인을 알아보기 위한 목적으로 가명정보를 처리한 자
4의4. 개인정보 정정·삭제요청에 따라 필요한 조치를 취하지 아니하고 개인정보를 계속 이용하거나 제3자에게 제공한 정보 통신서비스 제공자등
4의5. 이용자 동의없이 개인정보를 수집한 정보통신서비스 제공자
4의6. 법정대리인의 동의를 받지 아니하거나 법정대리인이 동의
하였는지를 확인하지 아니하고 만 14세 미만인 아동의 개인
정보를 수집한 정보통신서비스 제공자
5. 업무상 알게 된 개인정보의 누설하거나 권한 없이 타인이 이용
하도록 제공한 자(그 사정을 알고 영리 또는 부정한 목적으로 제공 받은 자 포함)
6. 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조, 유출한 자
5년 이하 징역 / 5천만원 이하 벌금
제72조
1. 영상정보처리기기 설치목적과 다른 목적으로 임의조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자
2. 거짓 그 밖에 부정한 수단이나 방법에 의하여 개인정보를 취득 하거나 개인정보처리에 관한 동의를 얻는 행위를 한 자(그 사정을 알고 영리 또는 부정한 목적으로 제공받은 자를 포함)
3. 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 에 이용한 자
3년 이하 징역 / 3천만원 이하 벌금
제73조
1. 안전성 확보에 필요한 보호조치를 취하지 아니하여 개인정보를 분실·도난·유출·위조·변조·훼손당한 자
1의2. 개인정보 미파기 정보통신서비스 제공자등(방송사업자등 포함)
2. 개인정보의 정정·삭제요청에 따라 필요한 조치를 취하지 아니하고 개인정보를 계속 이용하거나 제3자에게 제공한 자
3. 개인정보의 처리정지 요구에 따라 처리를 중단하지 아니하고 계속 이용하거나 제3자에게 제공한 자
2년 이하의 징역 / 2천만원 이하의 벌금

 

XⅢ. 개인정보 보호법 위반사항 등∣263

조문
위반행위
벌칙수준
제75조 제1항
1. 개인정보의 수집기준을 위반한 자
2. 만 14세 미만 아동의 개인정보 수집 시 법정대리인의 동의를 받지 않은 자
3. 탈의실·목욕실 등 영상정보처리기기 설치 금지의무를 위반한 자
5천만원 이하 과태료
제75조 제2항
1. 개인정보 수집·이용·제공 동의획득 시, 목적 외 이용·제공 동의 획득 시, 직접마케팅 업무위탁으로 인한 개인정보 제공 시 정보 주체에게 알려야 할 사항을 알리지 아니한 자
2. 필요최소한의 개인정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부한 자
3. 정보주체 외로부터 수집한 개인정보를 고지하지 아니한 자
4. 개인정보를 파기 등 필요한 조치를 하지 아니한 자(미이용기간 경과 개인정보를 파기 등 필요한 조치 하지 아니한 자 포함)
4-2. 법을 위반하여 주민등록번호를 처리한 자
4-3. 암호화조치를 하지 아니한 자
5. 주민등록번호 대체가입수단을 제공하지 아니한 자
6. 안전성 확보에 필요한 조치의무를 이행하지 아니한 자
7. 영상정보처리기기 설치·운영기준을 위반한 자
7-2. 가명정보 처리 중 개인을 알아볼 수 있는 정보가 생성되었음에도 이용 중지·회수·파기를 하지 아니한 자
7-3. 거짓으로 인증내용을 표시 또는 홍보한 자
8. 개인정보 유출사실 통지하지 아니한 자
9. 개인정보 유출에 따른 조치 결과를 신고하지 아니한 자
10. 정보주체의 열람 요구를 부당하게 제한·거절한 자
11. 정보주체의 개인정보 정정·삭제요청에 따라 필요한 조치를 취하지 아니한 자
12. 처리 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 아니한 자
12의2. 필요 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 서비스 제공을 거부한 자
12의3. 유출등 통지·신고를 하지 아니하거나 정당한 사유 없이 24시간을 경과하여 통지·신고한 자
12의4. 24시간을 경과하여 유출등 통지·신고 또는 통지·신고에
갈음한 조치를 한 정당한 사유를 소명하지 아니하거나 거짓으로 소명한 자
12의5. 수집방법보다 쉬운 개인정보 동의 철회·열람·정정 방법을 제공하지 아니한 자
12의6. 개인정보 동의 철회에 따른 파기 등 필요한 조치를 하지 아니한 정보통신서비스 제공자등
12의7. 개인정보의 이용내역을 통지하지 아니한 자
12의8. 개인정보 국외 이전 시 보호조치를 하지 아니한 자
13. 시정명령에 따르지 아니한 자
3천만원 이하 과태료
제75조 제3항
1. 보험 또는 공제 가입, 준비금 적립 등 손해배상 보장조치를 하지 아니한 자
2. 국내대리인을 지정하지 아니한 자
3. 국외 처리위탁·보관 시 고지사항을 공개하지 않거나 이용자에게 통지하지 아니한 자
2천만원 이하 과태료
제75조 제4항
1. 미파기 개인정보의 별도 보존의무를 위반한 자
2. 동의획득 방법을 위반하여 동의받은 자
3. 영상정보처리기기 안내판 설치 등 필요조치 이행하지 아니한 자
4. 적법한 문서에 의하지 않고 업무를 위탁한 자
5. 업무위탁시 공개의무를 위반한 자
6. 영업양도 등으로 인한 개인정보 이전사실을 통지하지 아니한 자
6의2. 가명정보 처리 관련 기록을 작성하여 보관하지 아니한 자
7. 개인정보처리방침을 수립하지 않거나 공개하지 아니한 자
8. 개인정보보호책임자를 지정하지 아니한 자
9. 정보주체의 열람, 정정·삭제, 처리정지 요구 거부시 통지의무를 이행하지 아니한 자
10. 관계물품·서류 등의 미제출 또는 허위로 제출한 자
11. 출입·검사를 거부·방해 또는 기피한 자
1천만원 이하 과태료

264∣

 

 

과태료
XⅢ. 개인정보 보호법 위반사항 등∣265
조 문 위반행위 벌칙수준

 

 

 

 

공공기관의 개인정보 보호 역량 강화 위한 지침서 211208.hwp

0.62MB